Kimsuky применяет «Quishing»: вредоносные QR-коды в целевом фишинге

ФБР выпустило экстренный отчет о новой тактике, применяемой спонсируемой государством северокорейской хакерской группировкой Kimsuky. В отчете предупреждаются неправительственные организации, аналитические центры, академические институты и эксперты по внешней политике, связанные с Северной Кореей: злоумышленники всё чаще используют встроенные QR‑коды в письмах целевого фишинга — метод, который в отчете обозначен как Quishing.

Что такое «Quishing» и как это работает

Quishing — это разновидность целевого фишинга, при которой злоумышленники встраивают вредоносные или перенаправляющие QR‑коды в электронные письма, побуждая получателя просканировать код. После сканирования пользователь может перейти на сайт фишинга, где злоумышленники пытаются:

• собрать конфиденциальную информацию (учётные данные, персональные данные и т.п.);
• запустить загрузку вредоносного ПО на устройство;
• перенаправить пользователя на поддельные сервисы для дальнейшей компрометации.

Кого обычно нацеливают

По данным ФБР, основные цели таких кампаний — организации и специалисты, связанные с анализом и политикой, в частности:

• аналитические центры (think tanks);
• академические институты и исследовательские группы;
• неправительственные организации, работающие с проблематикой Кореи;
• эксперты по внешней политике и дипломаты;
• государственные учреждения США и международные организации.

Почему это представляет большую опасность

Переход Kimsuky к использованию QR‑кодов подчёркивает растущую изощрённость социальной инженерии, применяемой группой. Злоумышленники эксплуатируют высокую степень доверия пользователей к QR‑кодам и мобильным интерфейсам, что делает атаку эффективной при минимальных технических усилиях. В результате:

• традиционные фильтры электронной почты и проверки ссылок могут не сработать, если вредоносная логика скрыта в изображении QR;
• пользователи чаще сканируют QR‑коды с мобильных устройств, где сложнее проверить ссылку заранее;
• атаки остаются трудноотслеживаемыми и могут сочетаться с другими векторами для расширения доступа.

Рекомендации для специалистов по кибербезопасности и системных администраторов

ФБР подчёркивает важность оперативного реагирования и обмена разведданными. В качестве базовых мер рекомендуются следующие действия:

• включить в программы обучения сотрудников разделы про риски QR‑кодов и правила безопасного сканирования;
• обновить политики использования мобильных устройств: запрет сканирования непроверенных QR‑кодов на рабочих устройствах;
• настроить почтовые шлюзы и DLP‑системы на обнаружение и блокировку подозрительных вложений с QR‑изображениями;
• внедрять многофакторную аутентификацию (MFA) для снижения риска перехвата учётных данных;
• использовать URL‑предпросмотр и песочницы для проверки переходов по QR‑ссылкам перед доступом;
• обеспечивать своевременное обновление и патчинг систем и приложений;
• установить процедуру оперативного обмена информацией о подозрительных инцидентах и взаимодействия с правоохранительными органами, включая ФБР.

Вывод

Появление Quishing как тактики от Kimsuky свидетельствует о том, что угроза со стороны финансируемых государством акторов остаётся динамичной и адаптирующейся. ФБР рекомендует специалистам по кибербезопасности и администраторам сохранять бдительность, обновлять защитные меры и повышать осведомлённость пользователей — особенно в организациях, работающих с Кореей и внешнеполитическими вопросами.

ФБР: экстренный отчет предназначен для информирования ответственных лиц и организаций о развивающихся методах атаки и необходимости принятия превентивных мер.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.