Федеральное бюро расследований (ФБР) в минувший четверг выпустило срочное предупреждение, касающееся новой угрозы кибербезопасности. Бюро сообщило, что государственные хакеры из Северной Кореи начали активно применять вредоносные QR-коды в своих кампаниях целевого фишинга. Этот специфический метод атаки, сочетающий социальную инженерию и технические уловки, получил название «квишинг» (Quishing).
Основным исполнителем данных операций является группировка Kimsuky. По данным разведки, эта структура аффилирована с Генеральным бюро разведки (RGB) Северной Кореи. В сообществе специалистов по информационной безопасности данная группа также отслеживается под целым рядом псевдонимов, среди которых APT43, Black Banshee, Emerald Sleet, Springtail, TA427 и Velvet Chollima.
По состоянию на 2025 год кампании этой группировки остаются активными и нацелены на строго определенный круг жертв. В зону поражения попадают аналитические центры, академические институты, а также правительственные учреждения Соединенных Штатов и иностранных государств. Злоумышленники целенаправленно выбирают объекты, обладающие стратегически важной информацией.
Методология атаки Kimsuky строится на тактике «квишинга», при которой хакеры внедряют вредоносные коды быстрого реагирования (QR) непосредственно в письма целевого фишинга. Главная цель этого маневра — вынудить жертву переключиться с защищенного корпоративного компьютера на личное или неуправляемое мобильное устройство для сканирования кода.
Стратегическое преимущество такого перехода заключается в уязвимости мобильных платформ. Смартфоны часто не обладают тем же уровнем защиты, что и корпоративные компьютеры, что позволяет злоумышленникам обходить традиционные средства сетевой обороны и границы систем обнаружения и реагирования на конечных точках (EDR).
В историческом контексте правительство США уже обращало внимание на техническую изощренность этой группы. В бюллетене от мая 2024 года отмечалось, что Kimsuky эксплуатирует неправильно настроенные политики аутентификации сообщений, отчетов и соответствия на основе домена (DMARC). Это делалось для подрыва протоколов аутентификации электронной почты, чтобы фишинговые сообщения выглядели так, словно они отправлены с легитимного домена.
Техническая последовательность нынешней атаки начинается на неуправляемых мобильных устройствах, что приводит к краже токенов сеанса и их последующему повторному использованию (replay). Такая схема позволяет хакерам эффективно обходить многофакторную аутентификацию (MFA), при этом не вызывая типичных для таких случаев оповещений о сбое MFA, что делает вторжение практически незаметным для служб безопасности.
Последствия компрометации включают захват облачных идентификаторов и установление постоянного присутствия (persistence) внутри организации. Получив контроль над учетной записью, злоумышленники используют скомпрометированный почтовый ящик для распространения вторичных атак целевого фишинга на других сотрудников или партнеров организации.
На текущий момент «квишинг» оценивается экспертами как «вектор вторжения в идентификационные данные с высокой степенью достоверности, устойчивый к MFA». Использование этой тактики в корпоративных средах создает серьезные риски, требующие пересмотра подходов к защите мобильных устройств и обучению персонала.
Изображение носит иллюстративный характер
Основным исполнителем данных операций является группировка Kimsuky. По данным разведки, эта структура аффилирована с Генеральным бюро разведки (RGB) Северной Кореи. В сообществе специалистов по информационной безопасности данная группа также отслеживается под целым рядом псевдонимов, среди которых APT43, Black Banshee, Emerald Sleet, Springtail, TA427 и Velvet Chollima.
По состоянию на 2025 год кампании этой группировки остаются активными и нацелены на строго определенный круг жертв. В зону поражения попадают аналитические центры, академические институты, а также правительственные учреждения Соединенных Штатов и иностранных государств. Злоумышленники целенаправленно выбирают объекты, обладающие стратегически важной информацией.
Методология атаки Kimsuky строится на тактике «квишинга», при которой хакеры внедряют вредоносные коды быстрого реагирования (QR) непосредственно в письма целевого фишинга. Главная цель этого маневра — вынудить жертву переключиться с защищенного корпоративного компьютера на личное или неуправляемое мобильное устройство для сканирования кода.
Стратегическое преимущество такого перехода заключается в уязвимости мобильных платформ. Смартфоны часто не обладают тем же уровнем защиты, что и корпоративные компьютеры, что позволяет злоумышленникам обходить традиционные средства сетевой обороны и границы систем обнаружения и реагирования на конечных точках (EDR).
В историческом контексте правительство США уже обращало внимание на техническую изощренность этой группы. В бюллетене от мая 2024 года отмечалось, что Kimsuky эксплуатирует неправильно настроенные политики аутентификации сообщений, отчетов и соответствия на основе домена (DMARC). Это делалось для подрыва протоколов аутентификации электронной почты, чтобы фишинговые сообщения выглядели так, словно они отправлены с легитимного домена.
Техническая последовательность нынешней атаки начинается на неуправляемых мобильных устройствах, что приводит к краже токенов сеанса и их последующему повторному использованию (replay). Такая схема позволяет хакерам эффективно обходить многофакторную аутентификацию (MFA), при этом не вызывая типичных для таких случаев оповещений о сбое MFA, что делает вторжение практически незаметным для служб безопасности.
Последствия компрометации включают захват облачных идентификаторов и установление постоянного присутствия (persistence) внутри организации. Получив контроль над учетной записью, злоумышленники используют скомпрометированный почтовый ящик для распространения вторичных атак целевого фишинга на других сотрудников или партнеров организации.
На текущий момент «квишинг» оценивается экспертами как «вектор вторжения в идентификационные данные с высокой степенью достоверности, устойчивый к MFA». Использование этой тактики в корпоративных средах создает серьезные риски, требующие пересмотра подходов к защите мобильных устройств и обучению персонала.
