Americký Federální úřad pro vyšetřování (FBI) zveřejnil varování před severokorejskými státem sponzorovanými hackery, kteří využívají škodlivé QR kódy v cílených phishingových kampaních zaměřených na subjekty v zemi.
„Od roku 2025 aktéři Kimsuky cílili na think tanky, akademické instituce a americké i zahraniční vládní subjekty pomocí vložených škodlivých QR kódů v cílených phishingových kampaních,“ uvedlo FBI ve svém varování. „Tento typ cíleného phishingového útoku se označuje jako quishing.“
Použití QR kódů pro phishing je taktika, která nutí oběti přejít ze zařízení zabezpečeného firemními zásadami na mobilní zařízení, které nemusí nabízet stejnou úroveň ochrany, což útočníkům efektivně umožňuje obejít tradiční obranné mechanismy.
Kimsuky, sledovaná také jako APT43, Black Banshee, Emerald Sleet, Springtail, TA427 a Velvet Chollima, je hackerská skupina, o níž se předpokládá, že je spojena s Hlavním zpravodajským ředitelstvím (RGB) Severní Koreje. Má dlouhou historii orchestrování cílených phishingových kampaní, které jsou speciálně navrženy k obcházení protokolů pro ověřování e-mailů.
V bulletinu zveřejněném v květnu 2024 americká vláda upozornila na tuto hackerskou skupinu kvůli zneužívání nesprávně nakonfigurovaných zásad DMARC (Domain-based Message Authentication, Reporting, and Conformance) k odesílání e-mailů, které vypadají, jako by pocházely z legitimní domény.
FBI uvedla, že zaznamenala aktéry Kimsuky využívající škodlivé QR kódy jako součást cílených phishingových snah několikrát v květnu a červnu 2025:
Vydávání se za zahraničního poradce v e-mailech žádajících o názor vedoucího think tanku na nedávný vývoj na Korejském poloostrově pomocí naskenování QR kódu pro přístup k dotazníku
Vydávání se za zaměstnance think tanku v e-mailech s QR kódem, který je navržen tak, aby zavedl oběť na infrastrukturu pod jejich kontrolou pro následné aktivity
Odesílání e-mailů strategické poradenské firmě s pozvánkou na neexistující konferenci, přičemž příjemce vyzývali k naskenování QR kódu, který je přesměruje na registrační stránku navrženou k získání jejich přihlašovacích údajů k účtu Google pomocí falešné přihlašovací stránky
Zveřejnění přichází necelý měsíc poté, co společnost ENKI odhalila podrobnosti o kampani s QR kódy prováděné skupinou Kimsuky za účelem distribuce nové varianty Android malwaru s názvem DocSwap v phishingových e-mailech napodobujících logistickou firmu se sídlem v Soulu.
„Quishingové operace často končí krádeží a opětovným přehráním session tokenů, což útočníkům umožňuje obejít vícefaktorové ověřování a unést cloudové identity bez spuštění typických upozornění na selhání MFA,“ uvedlo FBI. „Útočníci poté vytvoří perzistenci v organizaci a šíří sekundární cílený phishing z kompromitované e-mailové schránky.“
„Protože cesta kompromitace pochází z nespravovaných mobilních zařízení mimo běžné hranice EDR (Endpoint Detection and Response) a síťové inspekce, quishing je nyní považován za vysoce spolehlivý, MFA-odolný vektor narušení identity v podnikových prostředích.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
