FBIは、北朝鮮の国家支援を受けたハッキンググループKimsuky APTが、悪意のあるQRコードを使用して北朝鮮政策に関連する米国組織に侵入していると述べています。
この警告は、NGO、シンクタンク、大学、政府関連グループと共有された2025年のFBI FLASHで発表されました。同機関は、標的にはすべて共通点が1つあると述べています。それは北朝鮮について研究、助言、または関連業務を行っていることです。
FBIによると、Kimsuky APTはリンクの代わりにQRコードに依存するスピアフィッシングキャンペーンを実行しており、この手法はQuishingとして知られています。
QRコードは有害なURLを隠しており、被害者はほぼ常に業務用コンピューターではなく電話でスキャンします。この移行により、攻撃者は通常フィッシングを検出するメールフィルター、リンクスキャナー、サンドボックスツールをすり抜けることができます。
Kimsuky APTは政策および研究対象者にQRベースのメールを送信
FBIは、Kimsuky APTが2025年にいくつかのテーマ別メールを使用したと述べています。それぞれが標的の職務と関心事に合致していました。5月、攻撃者は外国人顧問を装いました。彼らはシンクタンクのリーダーに朝鮮半島の最近の出来事についての見解を求めるメールを送信しました。メールにはアンケートを開くと主張するQRコードが含まれていました。
5月下旬、グループは大使館職員を装いました。そのメールはシンクタンクの上級研究員に送られました。北朝鮮の人権に関する意見を求めていました。QRコードは安全なドライブのロックを解除すると主張していました。同月、別のメールがシンクタンクの従業員から送られたものを装いました。そのQRコードをスキャンすると、被害者は悪意のある活動のために構築されたKimsuky APTのインフラストラクチャに送られました。
2025年6月、FBIはグループが戦略的諮問会社を標的にしたと述べています。メールはスタッフを存在しない会議に招待しました。QRコードはユーザーを登録ページに送りました。登録ボタンは訪問者を偽のGoogleログインページに誘導しました。そのページはユーザー名とパスワードを収集しました。FBIはこのステップをT1056.003として追跡される認証情報収集活動に結び付けました。
QRスキャンはトークン盗難とアカウント乗っ取りにつながる
FBIは、これらの攻撃の多くがセッショントークンの盗難とリプレイで終わると述べています。これにより、攻撃者はアラートをトリガーすることなく多要素認証をバイパスできます。アカウントは静かに乗っ取られます。その後、攻撃者は設定を変更し、アクセスを追加し、制御を維持します。FBIは、侵害されたメールボックスが同じ組織内でさらにスピアフィッシングメールを送信するために使用されると述べています。
FBIは、これらの攻撃が個人の電話で始まることを指摘しています。そのため、通常のエンドポイント検出ツールとネットワーク監視の範囲外になります。このため、FBIは次のように述べました:-
FBIは組織にリスクを軽減するよう促しています。同機関は、スタッフにメール、手紙、チラシからのランダムなQRコードのスキャンについて警告すべきだと述べています。トレーニングでは偽の緊急性となりすましを扱うべきです。従業員はログインまたはファイルのダウンロード前に、直接連絡を通じてQRコード要求を確認する必要があります。明確な報告ルールを設定する必要があります。
FBIはまた、「すべてのリモートアクセスと機密システムにフィッシング耐性のあるMFAを使用すること」、および「最小権限の原則に従ってアクセス権限を見直し、未使用または過剰なアカウント権限を定期的に監査すること」を推奨しています。
最も賢明な暗号資産関係者はすでに私たちのニュースレターを読んでいます。参加しませんか?彼らに加わりましょう。
Source: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
