Північнокорейська хакерська організація Kimsuky новий підхід: шкідливі QR-коди для фішингу, що обходять поштовий захист

ФБР щойно опублікувало нове попередження: кіберзлочинна організація Кімсюкі з Північної Кореї використовує зловмисні QR-коди для цілеспрямованих фішингових атак. Це не звичайна пошта-фішинг, а більш хитра атака між пристроями — шляхом спонукання жертви перейти з комп’ютера на мобільний телефон, щоб обійти традиційний захист електронної пошти. Мета — аналітичні центри, академічні установи та дипломатичні організації, з високою точністю.

Як новий метод обходить захист

ретельно спроектований ланцюг атаки

Цей процес атаки Кімсюкі здається простим, але насправді дуже цілеспрямованим:

• підробка відомих осіб у сфері зовнішньої політики для надсилання листів
• у листі вставляється QR-код із зловмисним посиланням
• спонукання жертви сканувати QR-код за допомогою мобільного телефону
• перехід з десктопу на мобільний браузер
• обхід безпеки корпоративного поштового шлюзу

Головна хитрість цього методу — багато систем безпеки електронної пошти сканують і перевіряють посилання у листах, але захист від QR-кодів часто недостатній. Крім того, через перехід між пристроями мобільний браузер зазвичай має нижчий рівень захисту, ніж десктоп.

Чому саме ці організації

Згідно з попередженням ФБР, цілі Кімсюкі включають аналітичні центри, академічні установи та організації, що займаються дипломатією і міжнародними справами. Це не випадковий вибір, а стратегічний план:

• ці організації мають інформацію про політичне ухвалення рішень і міжнародні процеси
• співробітники мають доступ до чутливої інформації та ключових осіб
• внутрішня безпека організацій може бути різною
• відкритість академічних установ робить їх більш вразливими для проникнення

Рекомендації щодо захисту

Для протидії цим загрозам організації та користувачі повинні вжити таких заходів:

• бути обережними з QR-кодами у листах, особливо від незнайомих відправників
• використовувати інструменти безпеки, що можуть виявляти і позначати QR-коди у листах
• навчати співробітників розпізнаванню фішингу через QR-коди
• активувати додатковий захист мобільних пристроїв і браузерів
• перевіряти справжність відправника листа, особливо у випадках, що стосуються політики або дипломатії
• перед відкриттям незнайомих посилань і QR-кодів підтверджувати їх через інші канали

Ширший контекст загроз

Це попередження відображає те, що організації з високим рівнем постійної загрози (APT) постійно вдосконалюють свої методи атак. Кімсюкі, як організація, що багато разів повідомлялася про свою діяльність у Північній Кореї, зосереджена на зборі розвідданих. Використання “низькотехнологічних” засобів, таких як QR-коди, для обходу “високотехнологічних” систем захисту свідчить про глибоке розуміння зловмисниками систем безпеки.

Це також нагадує, що кібербезпека не може покладатися лише на технології — людський фактор є ключовим. Навіть найсучасніші поштові шлюзи не здатні повністю запобігти всім загрозам, тому обізнаність і пильність співробітників — остання лінія оборони.

Підсумок

Фішингові атаки з використанням зловмисних QR-кодів від Кімсюкі є новим напрямком еволюції загроз — зловмисники використовують нові технології і шукають слабкі місця у системах захисту. Для аналітичних центрів, академічних і дипломатичних організацій це попередження має стати сигналом до дії. Потрібно не лише оновлювати технологічний захист, а й підвищувати рівень безпеки всього колективу. Для звичайних користувачів — запам’ятати простий принцип: перед скануванням QR-коду у незнайомому листі потрібно подумати двічі.