Хакеры из правительства Северной Кореи превращают QR-коды в оружие для кражи учетных данных, предупредило ФБР, поскольку шпионы Пхеньяна находят новые способы обойти корпоративную безопасность и получить доступ к облачным логинам.
В консультативном отчете, опубликованном на этой неделе, агентство заявило, что связанная с КНДР группировка “Kimsuky” внедряет вредоносные URL-адреса в QR-коды, доставляемые в тщательно продуманных целевых фишинговых письмах — техника, которую индустрия теперь называет “квишинг” (quishing).
Когда цель сканирует ловушечный код, обычно на телефоне, за которым команды безопасности имеют слабое наблюдение, она перенаправляется на страницы, управляемые злоумышленниками и маскирующиеся под порталы Microsoft 365, Okta или VPN, где учетные данные и токены сеанса тайно похищаются и впоследствии используются для обхода многофакторной аутентификации.
ФБР сообщило, что эти кампании, замеченные на протяжении всего 2025 года, были нацелены на аналитические центры, академические учреждения, а также правительственные организации США и зарубежных стран, занимающиеся политикой в отношении Северной Кореи, внешней политикой и национальной безопасностью.
Сами электронные письма не выглядят особенно зловеще — то приглашение на фальшивое мероприятие, то запрос на комментарий к политическому документу, — но стоит отсканировать QR-код, и вы попадаете на портал, контролируемый злоумышленником. Оттуда украденные логины используются для сохранения присутствия в сети и, в некоторых случаях, для рассылки новых фишинговых писем из собственной учетной записи жертвы.
Квишинг особенно опасен, поскольку он может обойти инструменты безопасности, на которые полагаются защитники. Такие инструменты, как перезапись URL-адресов, песочничный анализ и фильтрация электронной почты, не могут проверить графический QR-код, и как только жертва сканирует его на неуправляемом устройстве, команды безопасности могут не заметить угрозу до тех пор, пока не станет слишком поздно.
ФБР настоятельно призывает организации запретить сотрудникам сканировать таинственные QR-коды и перестать считать телефоны не подконтрольными конечными точками, внедрив механизмы контроля, способные проверять QR-ссылки до того, как пользователи их отсканируют.
Появление кражи учетных данных через QR-коды вписывается в более широкую картину киберопераций, проводимых киберпреступниками Пхеньяна. В прошлом году исследователи обнаружили, что другая давняя группировка, связанная с КНДР и известная как KONNI, использовала функцию “Найти мое устройство” от Google для удаленной заводской перезагрузки скомпрометированных телефонов Android, стирая доказательства шпионажа и блокируя пользователям доступ к своим устройствам.
KONNI, которую также замечали в развертывании собственных бэкдоров, замаскированных под документы о политике КНДР или правительственные формы, имеет пересекающуюся инфраструктуру с другими организациями КНДР, включая Kimsuky, сообщает фирма по кибербезопасности Genians.
Как всегда, самое слабое звено — это не какая-то уязвимость нулевого дня, а обыденные вещи, которым люди доверяют, не задумываясь. Оказывается, квадратного штрих-кода более чем достаточно. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 8/9
Bajan-score: 0.608 / 0.519 / 0.581
Автор – Carly Page
