FBI afirmă că Kimsuky APT, un grup de hackeri susținut de statul nord-coreean, folosește coduri QR malițioase pentru a pătrunde în organizații americane legate de politica privind Coreea de Nord.
Avertismentul a venit într-un FLASH FBI din 2025 distribuit către ONG-uri, grupuri de reflecție, universități și grupuri conectate la guvern. Agenția spune că toate țintele au ceva în comun. Ele studiază, oferă consultanță sau lucrează în legătură cu Coreea de Nord.
Conform FBI, Kimsuky APT desfășoară campanii de spearphishing care se bazează pe coduri QR în loc de linkuri, o metodă cunoscută sub numele de Quishing.
Codurile QR ascund URL-uri dăunătoare, iar victimele le scanează aproape întotdeauna cu telefoanele, nu cu computerele de la serviciu. Această schimbare permite atacatorilor să ocolească filtrele de e-mail, scanerele de linkuri și instrumentele sandbox care de obicei prind phishing-ul.
Kimsuky APT trimite e-mailuri bazate pe QR către ținte din domeniul politicii și cercetării
FBI spune că Kimsuky APT a folosit mai multe e-mailuri tematice în 2025. Fiecare s-a potrivit cu funcția și interesele țintei. În mai, atacatorii s-au dat drept consilier străin. Au trimis un e-mail liderului unui grup de reflecție solicitând opinii despre evenimentele recente de pe Peninsula Coreeană. E-mailul includea un cod QR care pretindea că deschide un chestionar.
Mai târziu în mai, grupul s-a dat drept angajat al unei ambasade. Acel e-mail a fost trimis către un cercetător senior la un grup de reflecție. Solicita contribuții privind drepturile omului în Coreea de Nord. Codul QR pretindea că deblochează o unitate securizată. În aceeași lună, un alt e-mail pretindea că vine de la un angajat al unui grup de reflecție. Scanarea codului QR a trimis victima către infrastructura Kimsuky APT construită pentru activități malițioase.
În iunie 2025, FBI spune că grupul a vizat o firmă de consultanță strategică. E-mailul a invitat personalul la o conferință care nu exista. Un cod QR trimitea utilizatorii către o pagină de înregistrare. Un buton de înregistrare apoi redirecționa vizitatorii către o pagină falsă de autentificare Google. Acea pagină colecta nume de utilizator și parole. FBI a legat acest pas de activitatea de colectare a acreditărilor urmărită ca T1056.003.
Scanările QR duc la furtul de token-uri și preluarea conturilor
FBI spune că multe dintre aceste atacuri se încheie cu furtul și reluarea token-urilor de sesiune. Acest lucru permite atacatorilor să ocolească autentificarea cu mai mulți factori fără a declanșa alerte. Conturile sunt preluate în liniște. După aceea, atacatorii modifică setările, adaugă acces și păstrează controlul. FBI spune că căsuțele de e-mail compromise sunt apoi folosite pentru a trimite mai multe e-mailuri de spearphishing în cadrul aceleiași organizații.
FBI notează că aceste atacuri încep pe telefoanele personale. Acest lucru le plasează în afara instrumentelor normale de detectare a punctelor finale și a monitorizării rețelei. Din acest motiv, FBI a declarat:-
FBI îndeamnă organizațiile să reducă riscul. Agenția spune că personalul ar trebui avertizat cu privire la scanarea codurilor QR aleatorii din e-mailuri, scrisori sau fluturași. Instruirea ar trebui să acopere urgența falsă și falsificarea identității. Lucrătorii ar trebui să verifice solicitările de coduri QR prin contact direct înainte de a se autentifica sau de a descărca fișiere. Ar trebui stabilite reguli clare de raportare.
FBI recomandă de asemenea utilizarea:- "MFA rezistent la phishing pentru toate accesele la distanță și sistemele sensibile" și "revizuirea privilegiilor de acces conform principiului celui mai mic privilegiu și auditarea regulată a permisiunilor de cont neutilizate sau excesive."
Cele mai inteligente minți cripto citesc deja buletinul nostru informativ. Vrei să te alături? Înscrie-te.
Sursă: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
