Η ομάδα χάκερ Kimsuki που χρηματοδοτείται από το κράτος της Βόρειας Κορέας χρησιμοποιεί κακόβουλους κωδικούς QR σε εκστρατείες ψαρέματος που στοχεύουν αμερικανικούς οργανισμούς, προειδοποιεί το Ομοσπονδιακό Γραφείο Ερευνών σε μια αστραπιαία ειδοποίηση.
Η παρατηρούμενη δραστηριότητα στοχεύει οργανισμούς που εμπλέκονται στην πολιτική, την έρευνα και την ανάλυση σχετικά με τη Βόρεια Κορέα, συμπεριλαμβανομένων μη κυβερνητικών οργανισμών, δεξαμενών σκέψης, ακαδημαϊκών ιδρυμάτων, εταιρειών στρατηγικής παροχής συμβουλών και κυβερνητικών φορέων στις Η.Π.Α.
Η χρήση κωδικών QR στο phishing, μια τεχνική που είναι επίσης γνωστή ως “quishing”, δεν είναι νέα. το FBI προειδοποίησε για αυτό όταν οι εγκληματίες του κυβερνοχώρου το χρησιμοποιούσαν για να κλέψουν χρήματα, αλλά παραμένει μια αποτελεσματική παράκαμψη ασφαλείας.
Η Kimsuky (APT43) είναι μια ομάδα απειλών της Βόρειας Κορέας που υποστηρίζεται από το κράτος και έχει συνδεθεί με πολλαπλές επιθέσεις όπου οι χάκερ παρουσιάζονται ως δημοσιογράφοι, εκμεταλλεύονται γνωστά τρωτά σημεία, βασίζονται σε επιθέσεις εφοδιαστικής αλυσίδας και τακτικές ClickFix.
Το FBI προειδοποιεί ότι σε καμπάνιες του περασμένου έτους, ηθοποιοί που σχετίζονται με την Kimsuki έστελναν email που περιείχαν κωδικούς QR που ανακατευθύνουν τα θύματα σε κακόβουλες τοποθεσίες μεταμφιεσμένες σε ερωτηματολόγια, ασφαλείς μονάδες δίσκου ή ψεύτικες σελίδες σύνδεσης.
Η υπηρεσία παρείχε ένα σύνολο τεσσάρων παραδειγμάτων όπου ο Kimsuki βασιζόταν στο quishing για να ανακατευθύνει τους στόχους σε μια τοποθεσία ελεγχόμενη από τους εισβολείς.
Για να ξεγελάσουν το θύμα, οι δράστες προσποιήθηκαν ότι ήταν ξένοι επενδυτές, υπάλληλοι πρεσβειών, μέλη δεξαμενών σκέψης και διοργανωτές συνεδρίων.
“Τον Ιούνιο του 2025, οι ηθοποιοί του Kimsuky έστειλαν σε μια εταιρεία στρατηγικών συμβουλών ένα email ψαρέματος που προσκαλούσε τους παραλήπτες σε ένα ανύπαρκτο συνέδριο.” λέει το FBI.
Η τεχνική του quishing
Σε μια εκστρατεία quishing, τα θύματα που σαρώνουν τον κώδικα QR συνήθως δρομολογούνται μέσω υποδομής που ελέγχεται από τους εισβολείς που αποτυπώνει τις συσκευές τους, συλλέγει στοιχεία παράγοντα χρήστη, λειτουργικό σύστημα, διεύθυνση IP, μέγεθος οθόνης και τοπική γλώσσα.
Συνήθως, εξυπηρετείται στα θύματα μια σελίδα phishing που υποδύεται το Microsoft 365, το Okta, τις πύλες VPN ή τις σελίδες σύνδεσης Google, με απώτερο στόχο να κλέψουν διαπιστευτήρια πρόσβασης ή διακριτικά.
«Οι λειτουργίες εξουδετέρωσης συχνά τελειώνουν με κλοπή και επανάληψη του διακριτικού περιόδου λειτουργίας, επιτρέποντας στους εισβολείς να παρακάμπτουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων και να παραβιάζουν ταυτότητες cloud χωρίς να ενεργοποιούν τις τυπικές ειδοποιήσεις «Αποτυχία MFA»», σημειώνει η υπηρεσία.
Επειδή αναγκάζει τον στόχο να χρησιμοποιήσει τις κινητές συσκευές του για να σαρώσει τον κωδικό QR, οι φορείς απειλών καταφέρνουν να αποφύγουν τις παραδοσιακές λύσεις ασφάλειας email και μπορούν να διανέμουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου από ένα παραβιασμένο φάκελο εισερχομένων.
Το FBI περιγράφει αυτές τις επιθέσεις ως “διάνυσμα εισβολής ταυτότητας ανθεκτικό σε MFA”, επειδή προέρχονται από μη διαχειριζόμενες κινητές συσκευές εκτός της τυπικής ανίχνευσης και απόκρισης τελικού σημείου (EDR) και παρακολούθησης δικτύου.
Για την άμυνα έναντι αυτών των επιθέσεων, το FBI συνιστά στοχευμένη εκπαίδευση εργαζομένων, επαλήθευση πηγής κώδικα QR, εφαρμογή διαχείρισης φορητών συσκευών και επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων.
Η υπηρεσία συνιστά ότι οι στόχοι τέτοιων επιθέσεων θα πρέπει να τις αναφέρουν αμέσως στο τοπικό τους FBI Cyber Squad ή στην πύλη IC3.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
