Η ομάδα Kimsuky που χρηματοδοτείται από το κράτος της Βόρειας Κορέας διεξάγει νέες εκστρατείες spearphishing που κάνουν κατάχρηση κωδικών QR για να παραβιάσουν οργανισμούς των ΗΠΑ.
Το FBI προειδοποιεί ότι δεξαμενές σκέψης, ΜΚΟ, ακαδημαϊκοί φορείς και οντότητες που συνδέονται με την κυβέρνηση με επίκεντρο τη Βόρεια Κορέα δελεάζονται τώρα με email “Quishing” που κρύβουν κακόβουλες διευθύνσεις URL πίσω από εικόνες QR αντί για συνδέσμους με δυνατότητα κλικ.
Η στροφή σε κωδικούς QR βοηθά τους παράγοντες της απειλής να μετακινήσουν τα θύματα από προστατευμένα εταιρικά τελικά σημεία και σε λιγότερο ελεγχόμενες κινητές συσκευές.
Σε αυτές τις εκστρατείες, οι χειριστές της Kimsuky παραπλανούν αξιόπιστες επαφές, όπως ξένους συμβούλους, προσωπικό πρεσβειών ή συναδέλφους ερευνητές. Τα μηνύματα ηλεκτρονικού ταχυδρομείου καλούν τους στόχους να σαρώσουν έναν κωδικό QR για να συμμετάσχουν σε μια διάσκεψη, να ανοίξουν μια “ασφαλή” μονάδα δίσκου ή να απαντήσουν σε μια έρευνα πολιτικής.
Αφού σαρωθεί, ο κώδικας ανακατευθύνει σιωπηλά τον χρήστη μέσω υποδομής που ελέγχεται από τους εισβολείς που λαμβάνει δακτυλικά αποτυπώματα στη συσκευή και στη συνέχεια φορτώνει μια ψεύτικη πύλη σύνδεσης για υπηρεσίες όπως το Microsoft 365, το Google, το Okta ή οι πύλες VPN.
Αφού εξέτασαν τις πρόσφατες υποβολές, οι αναλυτές του IC3 αναγνωρισθείς ότι οι αλυσίδες QR είναι ρυθμισμένες ώστε να αποφεύγουν την κανονική ασφάλεια email και τους ελέγχους MFA ενώ συγκεντρώνουν αθόρυβα τα διαπιστευτήρια και τα διακριτικά περιόδου λειτουργίας προγράμματος περιήγησης.
Αυτές οι λειτουργίες συχνά τελειώνουν με πλήρη ανάληψη λογαριασμού, κατάχρηση γραμματοκιβωτίου και μακροπρόθεσμη πρόσβαση σε πόρους cloud σε όλο το δίκτυο των θυμάτων.
Μια πιο προσεκτική ματιά στη διαδρομή μόλυνσης δείχνει ότι οι κωδικοί QR κατευθύνονται πρώτα σε τομείς που καταγράφουν βασικά χαρακτηριστικά, όπως παράγοντας χρήστη, τύπος λειτουργικού συστήματος, διεύθυνση IP, γλώσσα και μέγεθος οθόνης.
Στη συνέχεια, η λογική από την πλευρά του διακομιστή αποφασίζει εάν θα εμφανιστεί μια σελίδα phishing βελτιστοποιημένης για κινητά ή θα απομακρυνθεί το θύμα εάν το προφίλ μοιάζει με σαρωτή ή sandbox. Στον κώδικα, ένα απλοποιημένο μπλοκ απόφασης στον διακομιστή μπορεί να μοιάζει με:-
if "Android" in ua or "iPhone" in ua:
redirect("/m365/login/mobile")
else:
redirect("/news/article")Μόλις το θύμα προσγειωθεί στην ψεύτικη σελίδα και εισαγάγει τον κωδικό πρόσβασής του και τον κωδικό μιας χρήσης, τα σενάρια Kimsuky αρπάζουν τόσο τα διαπιστευτήρια όσο και τυχόν cookie περιόδου σύνδεσης που συνδέονται με τη ροή σύνδεσης. Ένα βασικό μοτίβο JavaScript μπορεί να είναι:
const token = document.cookie;
fetch("/collect", {
method: "POST",
body: JSON.stringify({ creds, token })
});Με την επανάληψη αυτών των διακριτικών, οι ηθοποιοί παρακάμπτουν το MFA και δημιουργούν ή τροποποιούν κανόνες πρόσβασης, προωθητές και κωδικούς πρόσβασης εφαρμογών εντός του λογαριασμού.
Από εκεί, στέλνουν φρέσκα θέλγητρα που βασίζονται σε QR από το παραβιασμένο γραμματοκιβώτιο, κάνοντας κάθε νέο κύμα να φαίνεται ακόμα πιο αξιόπιστο και διατηρώντας τη θέση τους ενεργή για εκτεταμένες περιόδους.
