ФБР повідомляє, що Kimsuky APT, хакерська група за підтримки Північної Кореї, використовує шкідливі QR-коди для проникнення в американські організації, пов'язані з політикою щодо Північної Кореї.
Попередження з'явилося у FBI FLASH 2025 року, яке було надіслано НДО, аналітичним центрам, університетам та групам, пов'язаним з урядом. Агентство стверджує, що всі цілі мають одну спільну рису. Вони вивчають, консультують або працюють навколо Північної Кореї.
За даними ФБР, Kimsuky APT проводить кампанії спірфішингу, які покладаються на QR-коди замість посилань — метод, відомий як Quishing.
QR-коди приховують шкідливі URL-адреси, і жертви майже завжди сканують їх телефонами, а не робочими комп'ютерами. Такий перехід дозволяє зловмисникам обійти фільтри електронної пошти, сканери посилань та інструменти пісочниці, які зазвичай виявляють фішинг.
Kimsuky APT надсилає електронні листи на основі QR-кодів до політичних та дослідницьких цілей
ФБР повідомляє, що Kimsuky APT використовував кілька тематичних електронних листів у 2025 році. Кожен відповідав роботі та інтересам цілі. У травні зловмисники видавали себе за іноземного радника. Вони надіслали електронного листа керівнику аналітичного центру з проханням висловити думку щодо останніх подій на Корейському півострові. Електронний лист містив QR-код, який нібито відкривав анкету.
Пізніше у травні група видавала себе за працівника посольства. Цей електронний лист було надіслано старшому співробітнику аналітичного центру. Він просив надати інформацію про права людини в Північній Кореї. QR-код нібито розблоковував захищений диск. Того ж місяця інший електронний лист нібито надійшов від працівника аналітичного центру. Сканування його QR-коду направляло жертву до інфраструктури Kimsuky APT, створеної для шкідливої діяльності.
У червні 2025 року, за даними ФБР, група націлилася на стратегічну консультаційну фірму. Електронний лист запрошував співробітників на конференцію, якої не існувало. QR-код відправляв користувачів на сторінку реєстрації. Кнопка реєстрації потім перенаправляла відвідувачів на фальшиву сторінку входу в Google. Ця сторінка збирала імена користувачів та паролі. ФБР пов'язало цей крок з діяльністю зі збору облікових даних, відстежуваною як T1056.003.
Сканування QR-кодів призводить до крадіжки токенів та захоплення облікових записів
ФБР повідомляє, що багато з цих атак закінчуються крадіжкою та повторним відтворенням токенів сеансу. Це дозволяє зловмисникам обходити багатофакторну автентифікацію без запуску сповіщень. Облікові записи захоплюються тихо. Після цього зловмисники змінюють налаштування, додають доступ та зберігають контроль. ФБР повідомляє, що скомпрометовані поштові скриньки потім використовуються для надсилання додаткових спірфішингових електронних листів всередині тієї ж організації.
ФБР зазначає, що ці атаки починаються на особистих телефонах. Це виводить їх за межі звичайних інструментів виявлення кінцевих точок та мережевого моніторингу. У зв'язку з цим ФБР заявило:-
ФБР закликає організації знизити ризик. Агентство стверджує, що персонал слід попереджати про сканування випадкових QR-кодів з електронних листів, листів чи листівок. Навчання має охоплювати фальшиву терміновість та видавання себе за інших. Працівники повинні перевіряти запити на QR-коди через прямий контакт перед входом у систему або завантаженням файлів. Мають бути встановлені чіткі правила звітності.
ФБР також рекомендує використовувати:- "стійку до фішингу MFA для всього віддаленого доступу та конфіденційних систем" та "переглядати привілеї доступу відповідно до принципу найменших привілеїв та регулярно перевіряти невикористані або надмірні дозволи облікових записів".
Найрозумніші криптоголови вже читають нашу розсилку. Хочете приєднатися? Приєднуйтесь до них.
Джерело: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
