منظمة القرصنة الكورية الشمالية Kimsuky تتبنى أسلوبًا جديدًا: تصيد عبر رموز QR خبيثة تتجاوز حماية البريد الإلكتروني

فBI أصدر للتو تحذيرًا جديدًا: منظمة الهجمات الإلكترونية الكورية الشمالية Kimsuky تستغل رموز الاستجابة السريعة الخبيثة لشن هجمات تصيد موجهة. هذه ليست تصيدًا عبر البريد الإلكتروني التقليدي، بل هجوم أكثر دهاءً عبر الأجهزة المتعددة — من خلال إيهام الضحايا بتحويل من الكمبيوتر إلى الهاتف المحمول، لتجنب الحماية التقليدية للبريد الإلكتروني. الهدف هو مراكز الأبحاث، والمؤسسات الأكاديمية، والمنظمات الدبلوماسية، بدقة عالية.

كيف تتجاوز الأساليب الجديدة الحماية

تصميم دقيق لسلسلة الهجمات

يبدو أن عملية هجوم Kimsuky بسيطة، لكنها في الواقع ذات استهداف قوي جدًا:

• انتحال شخصيات بارزة في مجال السياسة الخارجية لإرسال رسائل بريد إلكتروني
• تضمين رموز استجابة سريعة تحتوي على روابط خبيثة في الرسائل
• إيهام الضحايا بمسح الرمز باستخدام الهاتف المحمول
• تحويل المستخدم من متصفح سطح المكتب إلى متصفح الهاتف المحمول
• تجاوز فحوصات الأمان في بوابات البريد الإلكتروني للشركات

الذكاء في هذه الطريقة يكمن في أن أنظمة أمان البريد الإلكتروني لدى العديد من المؤسسات تقوم بمسح وفحص الروابط داخل الرسائل، لكن الحماية من الرموز الاستجابة السريعة غالبًا غير كافية. بالإضافة إلى ذلك، بسبب تغيير الجهاز، عادةً ما يكون مستوى حماية المتصفحات على الهواتف أقل من تلك على أجهزة الكمبيوتر.

لماذا تستهدف هذه المؤسسات

وفقًا لتحذير FBI، تشمل أهداف Kimsuky مراكز الأبحاث، والمؤسسات الأكاديمية، والمنظمات ذات الصلة بالسياسة الدولية والدبلوماسية. هذا ليس اختيارًا عشوائيًا، بل له استراتيجية واضحة:

• هذه المؤسسات تملك معلومات عن صياغة السياسات وتوجهات الشؤون الدولية
• الموظفون غالبًا يتعاملون مع معلومات حساسة وشخصيات اتخاذ القرار
• الوعي الأمني داخل المنظمة قد يكون متفاوتًا
• الطابع المفتوح للمؤسسات الأكاديمية يجعلها أهدافًا أسهل للاختراق

نصائح للدفاع

بالنسبة للمنظمات والأفراد، ينبغي اتخاذ التدابير التالية:

• الحذر من الرموز الاستجابة السريعة في الرسائل، خاصة من مرسلين غير معروفين
• نشر أدوات أمنية قادرة على اكتشاف وتصنيف الرموز الاستجابة السريعة في الرسائل
• تدريب الموظفين على التعرف على تصيد الرموز الاستجابة السريعة
• تفعيل حماية إضافية على الأجهزة المحمولة، بما في ذلك حماية المتصفحات
• التحقق من هوية مرسل البريد الإلكتروني، خاصة في الرسائل التي تتعلق بالسياسات أو الشؤون الدبلوماسية
• التأكد من صحة الروابط والرموز الاستجابة السريعة عبر قنوات أخرى قبل التفاعل معها

خلفية التهديد الأوسع

يعكس هذا التحذير أن التهديدات المستمرة والمتقدمة (APT) تتطور باستمرار في أساليبها. كيمسوكي، وهي منظمة هجمات إلكترونية كورية شمالية تم الإبلاغ عنها مرارًا، تركز نشاطاتها على جمع المعلومات الاستخبارية. استخدام رموز الاستجابة السريعة، وهو وسيلة “منخفضة التقنية” لتجاوز الحماية “عالية التقنية”، يدل على فهم عميق من قبل المهاجمين لنظام الدفاع.

كما يذكرنا ذلك بأن الأمن السيبراني لا يعتمد فقط على التقنية، بل على العنصر البشري أيضًا. حتى أكثر بوابات البريد الإلكتروني تقدمًا لا يمكنها منع جميع التهديدات، ووعي الموظفين وحذرهم غالبًا هو خط الدفاع الأخير.

الخلاصة

تمثل هجمات التصيد باستخدام رموز الاستجابة السريعة الخبيثة من قبل Kimsuky تطورًا جديدًا في التهديدات — حيث يستغل المهاجمون التقنيات الجديدة ويبحثون عن نقاط ضعف في أنظمة الدفاع. بالنسبة لمراكز الأبحاث، والمؤسسات الأكاديمية، والمنظمات الدبلوماسية، يجب أن يكون هذا التحذير في عين الاعتبار. لا يكفي ترقية التقنيات فقط، بل يجب رفع مستوى الوعي الأمني في جميع أنحاء المنظمة. وللمستخدمين العاديين، تذكروا مبدأ بسيطًا: قبل مسح رموز الاستجابة السريعة في رسائل غير معروفة، فكر مرتين.