FBI का कहना है कि Kimsuky APT, एक उत्तर कोरियाई राज्य-समर्थित हैकिंग समूह, उत्तर कोरिया नीति से जुड़े अमेरिकी संगठनों में घुसपैठ करने के लिए दुर्भावनापूर्ण QR कोड का उपयोग कर रहा है।
यह चेतावनी 2025 FBI FLASH में आई जो NGO, थिंक टैंक, विश्वविद्यालयों और सरकार से जुड़े समूहों के साथ साझा की गई। एजेंसी का कहना है कि सभी लक्ष्यों में एक बात समान है। वे उत्तर कोरिया का अध्ययन करते हैं, सलाह देते हैं, या इसके आसपास काम करते हैं।
FBI के अनुसार, Kimsuky APT स्पीयरफ़िशिंग अभियान चला रहा है जो लिंक के बजाय QR कोड पर निर्भर करता है, एक विधि जिसे Quishing के रूप में जाना जाता है।
QR कोड हानिकारक URL छुपाते हैं, और पीड़ित लगभग हमेशा उन्हें काम के कंप्यूटर के बजाय फोन से स्कैन करते हैं। यह बदलाव हमलावरों को ईमेल फ़िल्टर, लिंक स्कैनर और सैंडबॉक्स टूल से बचने देता है जो आमतौर पर फ़िशिंग को पकड़ते हैं।
Kimsuky APT नीति और शोध लक्ष्यों को QR-आधारित ईमेल भेजता है
FBI का कहना है कि Kimsuky APT ने 2025 में कई विषयगत ईमेल का उपयोग किया। प्रत्येक लक्ष्य की नौकरी और रुचियों से मेल खाता था। मई में, हमलावरों ने एक विदेशी सलाहकार के रूप में पेश किया। उन्होंने एक थिंक टैंक नेता को ईमेल करके कोरियाई प्रायद्वीप की हालिया घटनाओं पर विचार मांगे। ईमेल में एक QR कोड शामिल था जो एक प्रश्नावली खोलने का दावा करता था।
बाद में मई में, समूह ने एक दूतावास कर्मचारी के रूप में पेश किया। वह ईमेल एक थिंक टैंक के एक वरिष्ठ फेलो को गया। इसने उत्तर कोरियाई मानवाधिकारों पर इनपुट मांगा। QR कोड ने एक सुरक्षित ड्राइव अनलॉक करने का दावा किया। उसी महीने, एक अन्य ईमेल ने एक थिंक टैंक कर्मचारी से आने का नाटक किया। इसके QR कोड को स्कैन करने से पीड़ित को दुर्भावनापूर्ण गतिविधि के लिए बनाए गए Kimsuky APT इंफ्रास्ट्रक्चर पर भेज दिया गया।
जून 2025 में, FBI का कहना है कि समूह ने एक रणनीतिक सलाहकार फर्म को निशाना बनाया। ईमेल ने कर्मचारियों को एक सम्मेलन में आमंत्रित किया जो मौजूद नहीं था। एक QR कोड ने उपयोगकर्ताओं को एक पंजीकरण पृष्ठ पर भेजा। एक रजिस्टर बटन ने फिर आगंतुकों को एक नकली Google लॉगिन पृष्ठ पर धकेल दिया। उस पृष्ठ ने उपयोगकर्ता नाम और पासवर्ड एकत्र किए। FBI ने इस चरण को T1056.003 के रूप में ट्रैक की गई क्रेडेंशियल हार्वेस्टिंग गतिविधि से जोड़ा।
QR स्कैन टोकन चोरी और खाता अधिग्रहण की ओर ले जाते हैं
FBI का कहना है कि इनमें से कई हमले सत्र टोकन चोरी और रीप्ले के साथ समाप्त होते हैं। यह हमलावरों को अलर्ट ट्रिगर किए बिना मल्टी-फैक्टर ऑथेंटिकेशन को बायपास करने की अनुमति देता है। खाते चुपचाप अधिग्रहित कर लिए जाते हैं। उसके बाद, हमलावर सेटिंग्स बदलते हैं, एक्सेस जोड़ते हैं, और नियंत्रण बनाए रखते हैं। FBI का कहना है कि समझौता किए गए मेलबॉक्स का उपयोग फिर उसी संगठन के भीतर अधिक स्पीयरफ़िशिंग ईमेल भेजने के लिए किया जाता है।
FBI नोट करता है कि ये हमले व्यक्तिगत फोन पर शुरू होते हैं। यह उन्हें सामान्य एंडपॉइंट डिटेक्शन टूल और नेटवर्क मॉनिटरिंग के बाहर रखता है। इस वजह से, FBI ने कहा:-
FBI संगठनों से जोखिम कम करने का आग्रह करता है। एजेंसी का कहना है कि कर्मचारियों को ईमेल, पत्र या फ्लायर्स से यादृच्छिक QR कोड स्कैन करने के बारे में चेतावनी दी जानी चाहिए। प्रशिक्षण में नकली तात्कालिकता और प्रतिरूपण को शामिल किया जाना चाहिए। कर्मचारियों को लॉग इन करने या फाइलें डाउनलोड करने से पहले प्रत्यक्ष संपर्क के माध्यम से QR कोड अनुरोधों को सत्यापित करना चाहिए। स्पष्ट रिपोर्टिंग नियम होने चाहिए।
FBI यह भी अनुशंसा करता है:- "सभी रिमोट एक्सेस और संवेदनशील सिस्टम के लिए फ़िशिंग-प्रतिरोधी MFA का उपयोग करना," और "कम से कम विशेषाधिकार के सिद्धांत के अनुसार एक्सेस विशेषाधिकारों की समीक्षा करना और अप्रयुक्त या अत्यधिक खाता अनुमतियों के लिए नियमित रूप से ऑडिट करना।"
सबसे चतुर क्रिप्टो दिमाग पहले से ही हमारा न्यूज़लेटर पढ़ते हैं। शामिल होना चाहते हैं? उनसे जुड़ें।
स्रोत: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
