ФБР сообщает, что Kimsuky APT, хакерская группировка, поддерживаемая государством Северной Кореи, использует вредоносные QR-коды для взлома американских организаций, связанных с политикой в отношении Северной Кореи.
Предупреждение появилось в 2025 году в сообщении FBI FLASH, распространенном среди НКО, аналитических центров, университетов и организаций, связанных с правительством. Агентство заявляет, что у всех целей есть одна общая черта. Они изучают, консультируют или работают по вопросам, связанным с Северной Кореей.
По данным ФБР, Kimsuky APT проводит кампании целевого фишинга, которые основаны на QR-кодах вместо ссылок — метод, известный как Quishing.
QR-коды скрывают вредоносные URL-адреса, и жертвы почти всегда сканируют их с помощью телефонов, а не рабочих компьютеров. Это изменение позволяет злоумышленникам обходить фильтры электронной почты, сканеры ссылок и инструменты песочницы, которые обычно перехватывают фишинг.
Kimsuky APT отправляет электронные письма с QR-кодами целям в сфере политики и исследований
ФБР сообщает, что Kimsuky APT использовала несколько тематических писем в 2025 году. Каждое из них соответствовало работе и интересам цели. В мае злоумышленники выдавали себя за иностранного советника. Они отправили руководителю аналитического центра электронное письмо с просьбой высказать мнение о недавних событиях на Корейском полуострове. В письме был QR-код, который якобы открывал анкету.
Позже в мае группа выдавала себя за сотрудника посольства. Это письмо было отправлено старшему научному сотруднику аналитического центра. В нем запрашивалась информация о правах человека в Северной Корее. QR-код якобы открывал доступ к защищенному диску. В том же месяце другое письмо притворялось отправленным от сотрудника аналитического центра. Сканирование его QR-кода направляло жертву к инфраструктуре Kimsuky APT, созданной для вредоносной деятельности.
В июне 2025 года, по данным ФБР, группа нацелилась на фирму стратегического консалтинга. В письме сотрудники приглашались на конференцию, которой не существовало. QR-код направлял пользователей на страницу регистрации. Кнопка регистрации затем перенаправляла посетителей на поддельную страницу входа в Google. На этой странице собирались имена пользователей и пароли. ФБР связало этот шаг с деятельностью по сбору учетных данных, отслеживаемой как T1056.003.
Сканирование QR-кодов приводит к краже токенов и захвату аккаунтов
ФБР сообщает, что многие из этих атак заканчиваются кражей и повторным использованием токенов сеанса. Это позволяет злоумышленникам обходить многофакторную аутентификацию без срабатывания оповещений. Аккаунты захватываются незаметно. После этого злоумышленники изменяют настройки, добавляют доступ и сохраняют контроль. ФБР заявляет, что взломанные почтовые ящики затем используются для отправки дополнительных целевых фишинговых писем внутри той же организации.
ФБР отмечает, что эти атаки начинаются на личных телефонах. Это выводит их за пределы обычных инструментов обнаружения на конечных точках и сетевого мониторинга. В связи с этим ФБР заявило:-
ФБР призывает организации снизить риск. Агентство утверждает, что сотрудников следует предупреждать о сканировании случайных QR-кодов из электронных писем, писем или листовок. Обучение должно охватывать ложную срочность и выдачу себя за других. Сотрудники должны проверять запросы на сканирование QR-кодов через прямой контакт перед входом в систему или загрузкой файлов. Должны быть установлены четкие правила отчетности.
ФБР также рекомендует использовать:- "устойчивую к фишингу многофакторную аутентификацию для всех удаленных доступов и критически важных систем" и "пересмотр прав доступа в соответствии с принципом наименьших привилегий и регулярный аудит неиспользуемых или избыточных разрешений аккаунтов".
Самые умные умы в криптовалютах уже читают нашу рассылку. Хотите присоединиться? Присоединяйтесь к ним.
Источник: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
