ФБИ предупредува: Севернокорејски хакери користат злонамерни QR-кодови во spear-phishing напади

Американското Федерално биро за истраги (ФБИ) во четвртокот објави советодавно предупредување за севернокорејски државно спонзорирани заканувачки актери кои користат злонамерни QR-кодови во spear-phishing кампањи насочени кон организации во земјата.

„Од 2025 година, актери поврзани со Kimsuky таргетираат тинк-тенкови, академски институции и домашни и странски владини субјекти со вградени злонамерни Quick Response (QR) кодови во spear-phishing кампањи“, соопшти ФБИ во итното предупредување. „Овој тип на spear-phishing напад се нарекува quishing.“

Користењето QR-кодови за phishing е тактика што ги принудува жртвите да се префрлат од уред заштитен со корпоративни политики на мобилен уред кој можеби не нуди исто ниво на заштита, со што заканувачките актери ефективно ги заобиколуваат традиционалните одбрани.

Kimsuky, исто така следена како APT43, Black Banshee, Emerald Sleet, Springtail, TA427 и Velvet Chollima, е група за закани за која се смета дека е поврзана со Главната извидувачка управа (RGB) на Северна Кореја. Таа има долга историја на организирање spear-phishing кампањи специјално дизајнирани да ги поткопаат протоколите за автентикација на е-пошта.

Во билтен објавен во мај 2024 година, американската влада ја посочи оваа хакерска група за искористување на неправилно конфигурирани политики за Domain-based Message Authentication, Reporting, and Conformance (DMARC), со цел испраќање е-пораки што изгледаат како да доаѓаат од легитимен домен.

ФБИ соопшти дека забележало како актери на Kimsuky користат злонамерни QR-кодови како дел од таргетирани phishing активности повеќепати во мај и јуни 2025 година, вклучувајќи:

• Лажно претставување како странски советник во е-пораки со барање увид од лидер на тинк-тенк за неодамнешни случувања на Корејскиот Полуостров, при што се бара скенирање QR-код за пристап до прашалник
• Лажно претставување како вработен во амбасада во е-пораки со барање мислење од висок соработник во тинк-тенк за прашања поврзани со човековите права во Северна Кореја, заедно со QR-код кој наводно обезбедува пристап до безбеден диск
• Лажно претставување како вработен во тинк-тенк во е-пораки со QR-код дизајниран да ја однесе жртвата до инфраструктура под нивна контрола за понатамошни активности
• Испраќање е-пораки до стратешка советодавна фирма со покана за непостоечка конференција, при што примателите се поттикнуваат да скенираат QR-код што ги пренасочува кон страница за регистрација дизајнирана да ги собере нивните Google ингеренции преку лажна страница за најава

Ова обелоденување доаѓа помалку од еден месец откако ENKI откри детали за QR-код кампања спроведена од Kimsuky за дистрибуција на нова варијанта на Android малициозен софтвер наречен DocSwap, преку phishing е-пораки што имитирале логистичка компанија со седиште во Сеул.

„Quishing операциите често завршуваат со кражба и повторна употреба на сесиски токени, што им овозможува на напаѓачите да ја заобиколат повеќефакторската автентикација и да преземат облачни идентитети без да активираат типични предупредувања за ‘неуспешна MFA’“, соопшти ФБИ. „Потоа противниците воспоставуваат постојан пристап во организацијата и шират секундарни spear-phishing напади од компромитираното поштенско сандаче.“

„Бидејќи патот на компромитација започнува на неконтролирани мобилни уреди надвор од вообичаените граници на Endpoint Detection and Response (EDR) и мрежната инспекција, quishing сега се смета за вектор на упад во идентитети со висока доверливост и отпорен на MFA во корпоративни средини.“

Извори:

• The Hacker News – FBI Warns North Korean Hackers Using Malicious QR Codes in Spear-Phishing The Hacker News