ФБР заявляет, что северокорейская APT-группировка Kimsuky использует вредоносные QR-коды для фишинговых атак на американские организации

ФБР заявляет, что Kimsuky APT, хакерская группа, поддерживаемая северокорейским государством, использует вредоносные QR-коды для взлома американских организаций, связанных с политикой Северной Кореи.

Предупреждение прозвучало в экстренном сообщении ФБР от 2025 года, разосланном неправительственным организациям, аналитическим центрам, университетам и группам, связанным с правительством. Агентство заявляет, что всех этих целей объединяет одно: они изучают Северную Корею, консультируют по этим вопросам или работают в сфере, связанной с ней.

По данным ФБР, группировка Kimsuky APT проводит целевые фишинговые кампании, в которых вместо ссылок используются QR-коды — метод, известный как «квишинг».

QR-коды скрывают вредоносные URL-адреса, и жертвы почти всегда сканируют их с помощью телефонов, а не рабочих компьютеров. Эта особенность позволяет злоумышленникам обходить почтовые фильтры, сканеры ссылок и инструменты песочницы, которые обычно выявляют фишинг.

Kimsuky APT рассылает электронные письма с QR-кодами адресатам, занимающимся вопросами политики и исследований

ФБР сообщает, что в 2025 году APT-группировка Kimsuky использовала несколько тематических электронных писем. Каждое из них соответствовало должности и интересам жертвы. В мае злоумышленники, выдавая себя за иностранного советника, отправили электронное письмо руководителю аналитического центра с просьбой высказать свое мнение о последних событиях на Корейском полуострове. В письме содержался QR-код, который якобы открывал анкету.

В конце мая группа выдала себя за сотрудника посольства. Это электронное письмо было отправлено старшему научному сотруднику аналитического центра. В нем запрашивалась информация о правах человека в Северной Корее. QR-код якобы открывал доступ к защищенному диску. В том же месяце другое электронное письмо, якобы отправленное сотрудником аналитического центра, сканировалось и перенаправляло жертву на инфраструктуру APT Kimsuky, созданную для вредоносной деятельности.

По данным ФБР, в июне 2025 года группа совершила атаку на фирму, занимающуюся стратегическим консалтингом. В электронном письме сотрудникам предлагалось посетить несуществующую конференцию. QR-код вел на страницу регистрации. Кнопка регистрации затем перенаправляла посетителей на поддельную страницу входа в Google. На этой странице собирались имена пользователей и пароли. ФБР связало этот шаг с деятельностью поdentучетных данных, tracпод номером T1056.003.

Сканирование QR-кодов приводит к краже токенов и захвату учетных записей

«Операции по блокировке часто заканчиваются кражей и повторным воспроизведением токенов сессии [T1550.004], что позволяет злоумышленникам обходить многофакторную аутентификацию [T1550.004] и захватывать облачные учетныеdent, не вызывая типичных предупреждений о сбое MFA», — заявило ФБР.

ФБР заявляет, что многие из этих атак заканчиваются кражей токенов сессии и их повторным воспроизведением. Это позволяет злоумышленникам обходить многофакторную аутентификацию, не вызывая срабатывания оповещений. Учетные записи захватываются незаметно. После этого злоумышленники изменяют настройки, добавляют доступ и сохраняют контроль. ФБР утверждает, что скомпрометированные почтовые ящики затем используются для рассылки фишинговых писем внутри той же организации.

ФБР отмечает, что эти атаки начинаются с личных телефонов. Это выводит их из-под действия обычных инструментов обнаружения угроз и мониторинга сети. В связи с этим ФБР заявило:

«В настоящее время метод «Quishing» считается высоконадежным и устойчивым кdentаутентификации способом взлома личных данных в корпоративных средах»

ФБР призывает организации снизить риски. Ведомство заявляет, что сотрудников следует предупреждать о сканировании случайных QR-кодов из электронных писем, писем или листовок. Обучение должно охватывать вопросы ложной срочности и выдачи себя за другое лицо. Сотрудники должны проверять запросы QR-кодов путем прямого контакта, прежде чем входить в систему или загружать файлы. Должны быть установлены четкие правила отчетности.

ФБР также рекомендует использовать: «многофакторную аутентификацию, устойчивую к фишингу, для всего удаленного доступа и конфиденциальных систем», а также «проверять права доступа в соответствии с принципом минимальных привилегий и регулярно проводить аудит на предмет неиспользуемых или избыточных разрешений учетных записей»