يقول مكتب التحقيقات الفيدرالي FBI إن مجموعة Kimsuky APT للقرصنة المدعومة من كوريا الشمالية تستخدم رموز QR الضارة لاختراق المؤسسات الأمريكية المرتبطة بسياسة كوريا الشمالية.
جاء التحذير في تنبيه FBI FLASH لعام 2025 تم مشاركته مع المنظمات غير الحكومية ومراكز الأبحاث والجامعات والمجموعات المرتبطة بالحكومة. تقول الوكالة إن جميع الأهداف تشترك في شيء واحد. فهي تدرس أو تقدم المشورة بشأن أو تعمل حول كوريا الشمالية.
وفقاً لمكتب التحقيقات الفيدرالي FBI، تدير Kimsuky APT حملات تصيد احتيالي تعتمد على رموز QR بدلاً من الروابط، وهي طريقة تُعرف باسم Quishing.
تخفي رموز QR عناوين URL ضارة، وتقوم الضحايا دائماً تقريباً بمسحها ضوئياً بالهواتف وليس بأجهزة الكمبيوتر الخاصة بالعمل. يتيح هذا التحول للمهاجمين التسلل عبر فلاتر البريد الإلكتروني وماسحات الروابط وأدوات الحماية التي عادةً ما تكتشف الاحتيال الإلكتروني.
ترسل Kimsuky APT رسائل بريد إلكتروني تعتمد على رموز QR إلى أهداف سياسية وبحثية
يقول مكتب التحقيقات الفيدرالي FBI إن Kimsuky APT استخدمت عدة رسائل بريد إلكتروني موضوعية في عام 2025. تطابق كل واحدة منها وظيفة الهدف واهتماماته. في مايو، تنكر المهاجمون كمستشار أجنبي. أرسلوا بريداً إلكترونياً إلى قائد مركز أبحاث يطلب آراءً حول الأحداث الأخيرة في شبه الجزيرة الكورية. تضمن البريد الإلكتروني رمز QR يدعي فتح استبيان.
في وقت لاحق من مايو، تنكرت المجموعة كموظف في السفارة. ذهب ذلك البريد الإلكتروني إلى زميل كبير في مركز أبحاث. طلب مدخلات حول حقوق الإنسان في كوريا الشمالية. ادعى رمز QR أنه يفتح قرصاً آمناً. في نفس الشهر، تظاهر بريد إلكتروني آخر بأنه من موظف في مركز أبحاث. أدى مسح رمز QR الخاص به إلى إرسال الضحية إلى بنية تحتية لـ Kimsuky APT مبنية لأنشطة ضارة.
في يونيو 2025، يقول مكتب التحقيقات الفيدرالي FBI إن المجموعة استهدفت شركة استشارية استراتيجية. دعا البريد الإلكتروني الموظفين إلى مؤتمر غير موجود. أرسل رمز QR المستخدمين إلى صفحة تسجيل. ثم دفع زر التسجيل الزوار إلى صفحة تسجيل دخول Google مزيفة. جمعت تلك الصفحة أسماء المستخدمين وكلمات المرور. ربط مكتب التحقيقات الفيدرالي FBI هذه الخطوة بنشاط حصاد بيانات الاعتماد المتتبع كـ T1056.003.
تؤدي عمليات مسح QR إلى سرقة التوكن والاستيلاء على الحساب
يقول مكتب التحقيقات الفيدرالي FBI إن العديد من هذه الهجمات تنتهي بسرقة التوكن الخاص بالجلسة وإعادة تشغيله. يتيح هذا للمهاجمين تجاوز المصادقة متعددة العوامل دون تشغيل التنبيهات. يتم الاستيلاء على الحسابات بهدوء. بعد ذلك، يغير المهاجمون الإعدادات ويضيفون الوصول ويحافظون على السيطرة. يقول مكتب التحقيقات الفيدرالي FBI إن صناديق البريد المخترقة تُستخدم بعد ذلك لإرسال المزيد من رسائل البريد الإلكتروني الاحتيالية داخل نفس المؤسسة.
يلاحظ مكتب التحقيقات الفيدرالي FBI أن هذه الهجمات تبدأ على الهواتف الشخصية. هذا يضعها خارج أدوات الكشف عن نقاط النهاية العادية ومراقبة الشبكة. بسبب هذا، قال مكتب التحقيقات الفيدرالي FBI:-
يحث مكتب التحقيقات الفيدرالي FBI المؤسسات على تقليل المخاطر. تقول الوكالة إنه يجب تحذير الموظفين من مسح رموز QR العشوائية من رسائل البريد الإلكتروني أو الرسائل أو النشرات. يجب أن يغطي التدريب الاستعجال المزيف وانتحال الشخصية. يجب على العاملين التحقق من طلبات رمز QR من خلال الاتصال المباشر قبل تسجيل الدخول أو تنزيل الملفات. يجب أن تكون قواعد الإبلاغ الواضحة في مكانها.
يوصي مكتب التحقيقات الفيدرالي FBI أيضاً باستخدام:- "المصادقة متعددة العوامل المقاومة للاحتيال الإلكتروني لجميع عمليات الوصول عن بُعد والأنظمة الحساسة"، و"مراجعة امتيازات الوصول وفقاً لمبدأ الامتياز الأقل والتدقيق بانتظام للحسابات غير المستخدمة أو المفرطة."
يقرأ ألمع عقول العملات الرقمية بالفعل نشرتنا الإخبارية. هل تريد الانضمام؟ انضم إليهم.
المصدر: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
