FBI می‌گوید Kimsuky APT کره شمالی از کدهای QR مخرب برای حملات فیشینگ هدفمند به نهادهای ایالات متحده استفاده می‌کند

FBI می‌گوید Kimsuky APT، یک گروه هکری تحت حمایت دولت کره شمالی، از کدهای QR مخرب برای نفوذ به سازمان‌های آمریکایی مرتبط با سیاست کره شمالی استفاده می‌کند.

این هشدار در یک FBI FLASH سال ۲۰۲۵ که با سازمان‌های غیردولتی، اندیشکده‌ها، دانشگاه‌ها و گروه‌های مرتبط با دولت به اشتراک گذاشته شد، اعلام شد. آژانس می‌گوید اهداف همگی یک چیز مشترک دارند. آنها در مورد کره شمالی مطالعه می‌کنند، مشاوره می‌دهند یا در آن زمینه کار می‌کنند.

طبق گفته FBI، Kimsuky APT در حال اجرای کمپین‌های فیشینگ هدفمند است که به جای لینک‌ها به کدهای QR متکی است، روشی که به عنوان Quishing شناخته می‌شود.

کدهای QR آدرس‌های مخرب را مخفی می‌کنند و قربانیان تقریباً همیشه آنها را با تلفن اسکن می‌کنند، نه رایانه‌های کاری. این تغییر به مهاجمان اجازه می‌دهد از فیلترهای ایمیل، اسکنرهای لینک و ابزارهای sandbox که معمولاً فیشینگ را شناسایی می‌کنند، عبور کنند.

Kimsuky APT ایمیل‌های مبتنی بر QR به اهداف سیاسی و تحقیقاتی ارسال می‌کند

FBI می‌گوید Kimsuky APT در سال ۲۰۲۵ از چندین ایمیل با موضوعات مختلف استفاده کرد. هر کدام با شغل و علایق هدف مطابقت داشت. در ماه مه، مهاجمان خود را به عنوان یک مشاور خارجی معرفی کردند. آنها به رهبر یک اندیشکده ایمیل زدند و در مورد رویدادهای اخیر در شبه‌جزیره کره نظرخواهی کردند. ایمیل شامل یک کد QR بود که ادعا می‌کرد یک پرسشنامه را باز می‌کند.

در اواخر ماه مه، گروه خود را به عنوان یک کارمند سفارت معرفی کرد. آن ایمیل برای یک محقق ارشد در یک اندیشکده ارسال شد. درخواست نظر در مورد حقوق بشر کره شمالی داشت. کد QR ادعا می‌کرد یک درایو امن را باز می‌کند. در همان ماه، ایمیل دیگری وانمود کرد که از یک کارمند اندیشکده آمده است. اسکن کردن کد QR آن، قربانی را به زیرساخت Kimsuky APT ساخته شده برای فعالیت مخرب هدایت کرد.

در ژوئن ۲۰۲۵، FBI می‌گوید گروه یک شرکت مشاوره استراتژیک را هدف قرار داد. ایمیل کارکنان را به یک کنفرانس که وجود نداشت دعوت کرد. یک کد QR کاربران را به یک صفحه ثبت‌نام هدایت کرد. یک دکمه ثبت‌نام سپس بازدیدکنندگان را به یک صفحه ورود جعلی Google هدایت کرد. آن صفحه نام‌های کاربری و رمزهای عبور را جمع‌آوری کرد. FBI این مرحله را به فعالیت برداشت اعتبارنامه ردیابی شده به عنوان T1056.003 مرتبط دانست.

اسکن QR منجر به سرقت توکن و تصرف حساب می‌شود

FBI می‌گوید بسیاری از این حملات با سرقت و بازپخش توکن جلسه پایان می‌یابند. این به مهاجمان اجازه می‌دهد احراز هویت دو عاملی صرافی ها (2FA) را بدون ایجاد هشدار دور بزنند. حساب‌ها به آرامی تصرف می‌شوند. پس از آن، مهاجمان تنظیمات را تغییر می‌دهند، دسترسی اضافه می‌کنند و کنترل را حفظ می‌کنند. FBI می‌گوید صندوق‌های پستی به خطر افتاده سپس برای ارسال ایمیل‌های فیشینگ هدفمند بیشتر در همان سازمان استفاده می‌شوند.

FBI خاطرنشان می‌کند که این حملات از تلفن‌های شخصی شروع می‌شوند. این آنها را خارج از ابزارهای تشخیص نقطه پایانی عادی و نظارت بر شبکه قرار می‌دهد. به همین دلیل، FBI گفت:-

FBI از سازمان‌ها می‌خواهد که ریسک را کاهش دهند. آژانس می‌گوید کارکنان باید در مورد اسکن کردن کدهای QR تصادفی از ایمیل‌ها، نامه‌ها یا بروشورها هشدار داده شوند. آموزش باید فوریت جعلی و جعل هویت را پوشش دهد. کارگران باید درخواست‌های کد QR را از طریق تماس مستقیم قبل از ورود به سیستم یا دانلود فایل‌ها تأیید کنند. قوانین گزارش‌دهی واضح باید وجود داشته باشد.

FBI همچنین توصیه می‌کند از: "2FA مقاوم در برابر فیشینگ برای تمام دسترسی‌های از راه دور و سیستم‌های حساس" و "بررسی امتیازات دسترسی بر اساس اصل کمترین امتیاز و ممیزی منظم برای مجوزهای حساب استفاده نشده یا بیش از حد" استفاده شود.

باهوش‌ترین ذهن‌های کریپتو از قبل خبرنامه ما را می‌خوانند. می‌خواهید عضو شوید؟ به آنها بپیوندید.