Sjevernokorejska APT grupa Kimsuky cilja vladine institucije, akademske ustanove i istraživačke centre putem spear-phishing imejlova koji sadrže maliciozne QR kodove, upozorava FBI.
Ova vrsta napada, poznata kao quishing, podrazumijeva phishing imejlove sa QR kodovima u koje su ugrađeni maliciozni URL-ovi, a koji primoravaju žrtve da koriste mobilni uređaj umjesto službenog računara.
Kako se navodi u novom upozorenju FBI-ja (PDF), ova phishing tehnika omogućava zaobilaženje tradicionalnih imejl bezbjednosnih kontrola.
„Quishing kampanje najčešće isporučuju QR slike kao imejl priloge ili ugrađenu grafiku, čime se izbjegavaju URL inspekcija, prepisivanje i sandboxing“, navodi FBI.
Kada žrtva skenira maliciozni QR kod, biva preusmjerena kroz domene pod kontrolom napadača, koji su dizajnirani da prikupljaju informacije o uređaju, poput user-agent podataka, operativnog sistema, veličine ekrana, IP adrese i lokacije.
Ove informacije omogućavaju napadačima da isporuče mobilno optimizovane phishing stranice koje imitiraju legitimne Microsoft 365, Okta ili VPN portale, navodi FBI.
Krađom sesijskih kolačića i izvođenjem replay napada, hakeri zaobilaze višefaktorsku autentifikaciju (MFA) i preuzimaju cloud identitete svojih žrtava, saopštava Biro.
Nakon početne kompromitacije, napadači uspostavljaju perzistentnost i zloupotrebljavaju kompromitovani identitet kako bi širili sekundarne spear-phishing napade.
„Pošto put kompromitacije potiče sa neupravljanih mobilnih uređaja, van uobičajenih granica Endpoint Detection and Response (EDR) sistema i mrežne inspekcije, quishing se sada smatra visoko pouzdanim, MFA-otpornim vektorom upada u identitet u poslovnim okruženjima“, navodi se u upozorenju FBI-ja.
Tokom maja i juna 2025. godine, Kimsuky je primijećen kako koristi quishing u četiri napada usmjerena na think tankove i jednu stratešku savjetodavnu firmu.
Imejl poruke su lažno predstavljale stranog savjetnika, zaposlenog u ambasadi i zaposlenog u think tanku, te su pozivale zaposlene u savjetodavnoj firmi na nepostojeću konferenciju.
Aktivna najmanje od 2012. godine, Kimsuky je državom podržana špijunska grupa fokusirana na prikupljanje obavještajnih podataka od organizacija u SAD-u, Japanu i Južnoj Koreji.
Poznata i kao APT43, Velvet Chollima, Emerald Sleet, TA406 i Black Banshee, ova APT grupa je sankcionisana od strane SAD-a 2023. godine zbog aktivnosti koje su olakšavale zaobilaženje sankcija i podržavale programe oružja za masovno uništenje u Pjongjangu.
Izvor: SecurityWeek
