FBI กล่าวว่า Kimsuky APT กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ กำลังใช้รหัส QR ที่เป็นอันตรายเพื่อเจาะเข้าไปในองค์กรสหรัฐฯ ที่เกี่ยวข้องกับนโยบายเกาหลีเหนือ
คำเตือนนี้มาจาก FBI FLASH ปี 2025 ที่แบ่งปันกับ NGO ถังค์แท็งก์ มหาวิทยาลัย และกลุ่มที่เชื่อมโยงกับรัฐบาล หน่วยงานกล่าวว่าเป้าหมายทั้งหมดมีสิ่งหนึ่งที่เหมือนกัน พวกเขาศึกษา ให้คำแนะนำ หรือทำงานเกี่ยวกับเกาหลีเหนือ
ตาม FBI, Kimsuky APT กำลังดำเนินแคมเปญ spearphishing ที่อาศัยรหัส QR แทนลิงก์ วิธีการที่เรียกว่า Quishing
รหัส QR ซ่อน URL ที่เป็นอันตราย และเหยื่อมักจะสแกนด้วยโทรศัพท์เสมอ ไม่ใช่คอมพิวเตอร์ที่ทำงาน การเปลี่ยนแปลงนี้ทำให้ผู้โจมตีสามารถเลี่ยงผ่านตัวกรองอีเมล เครื่องมือสแกนลิงก์ และเครื่องมือ sandbox ที่มักจับฟิชชิ่งได้
Kimsuky APT ส่งอีเมลที่มีรหัส QR ไปยังเป้าหมายด้านนโยบายและการวิจัย
FBI กล่าวว่า Kimsuky APT ใช้อีเมลหลายธีมในปี 2025 แต่ละอีเมลตรงกับงานและความสนใจของเป้าหมาย ในเดือนพฤษภาคม ผู้โจมตีปลอมเป็นที่ปรึกษาต่างประเทศ พวกเขาส่งอีเมลถึงผู้นำถังค์แท็งก์เพื่อขอความเห็นเกี่ยวกับเหตุการณ์ล่าสุดในคาบสมุทรเกาหลี อีเมลมีรหัส QR ที่อ้างว่าเปิดแบบสอบถาม
ในช่วงปลายเดือนพฤษภาคม กลุ่มปลอมตัวเป็นเจ้าหน้าที่สถานทูต อีเมลนั้นส่งถึงอาวุโสที่ถังค์แท็งก์ ขอความคิดเห็นเกี่ยวกับสิทธิมนุษยชนเกาหลีเหนือ รหัส QR อ้างว่าปลดล็อกไดรฟ์ที่ปลอดภัย ในเดือนเดียวกันนั้น อีเมลอีกฉบับหนึ่งแกล้งทำว่ามาจากพนักงานถังค์แท็งก์ การสแกนรหัส QR ส่งเหยื่อไปยังโครงสร้างพื้นฐาน Kimsuky APT ที่สร้างขึ้นสำหรับกิจกรรมที่เป็นอันตราย
ในเดือนมิถุนายน 2025 FBI กล่าวว่ากลุ่มกำหนดเป้าหมายบริษัทที่ปรึกษาเชิงกลยุทธ์ อีเมลเชิญพนักงานไปงานประชุมที่ไม่มีอยู่จริง รหัス QR ส่งผู้ใช้ไปยังหน้าลงทะเบียน ปุ่มลงทะเบียนจากนั้นผลักดันผู้เยี่ยมชมไปยังหน้าเข้าสู่ระบบ Google ปลอม หน้านั้นรวบรวมชื่อผู้ใช้และรหัสผ่าน FBI เชื่อมโยงขั้นตอนนี้กับกิจกรรมการเก็บเกี่ยวข้อมูลรับรองที่ติดตามเป็น T1056.003
การสแกน QR นำไปสู่การขโมยโทเค็นและการยึดบัญชี
FBI กล่าวว่าการโจมตีเหล่านี้หลายครั้งสิ้นสุดด้วยการขโมยและเล่นซ้ำโทเค็นเซสชัน สิ่งนี้ช่วยให้ผู้โจมตีเลี่ยงการตรวจสอบสิทธิ์แบบหลายปัจจัยโดยไม่ทำให้เกิดการแจ้งเตือน บัญชีถูกยึดอย่างเงียบๆ หลังจากนั้น ผู้โจมตีเปลี่ยนการตั้งค่า เพิ่มการเข้าถึง และรักษาการควบคุม FBI กล่าวว่ากล่องจดหมายที่ถูกบุกรุกจากนั้นถูกใช้เพื่อส่งอีเมล spearphishing เพิ่มเติมภายในองค์กรเดียวกัน
FBI สังเกตว่าการโจมตีเหล่านี้เริ่มต้นบนโทรศัพท์ส่วนตัว สิ่งนี้ทำให้พวกเขาอยู่นอกเครื่องมือตรวจจับปลายทางปกติและการตรวจสอบเครือข่าย เพราะเหตุนี้ FBI กล่าวว่า:-
FBI เรียกร้องให้องค์กรลดความเสี่ยง หน่วยงานกล่าวว่าพนักงานควรได้รับการเตือนเกี่ยวกับการสแกนรหัส QR แบบสุ่มจากอีเมล จดหมาย หรือใบปลิว การฝึกอบรมควรครอบคลุมความเร่งด่วนปลอมและการปลอมตัว พนักงานควรตรวจสอบคำขอรหัส QR ผ่านการติดต่อโดยตรงก่อนที่จะเข้าสู่ระบบหรือดาวน์โหลดไฟล์ ควรมีกฎการรายงานที่ชัดเจน
FBI ยังแนะนำให้ใช้:- "MFA ที่ต้านทานฟิชชิ่งสำหรับการเข้าถึงระยะไกลและระบบที่ละเอียดอ่อนทั้งหมด" และ "ทบทวนสิทธิ์การเข้าถึงตามหลักการของสิทธิ์ขั้นต่ำและตรวจสอบสิทธิ์บัญชีที่ไม่ได้ใช้หรือมากเกินไปเป็นประจำ"
ผู้คนที่ฉลาดที่สุดด้านคริปโตอ่านจดหมายข่าวของเราแล้ว อยากเข้าร่วมไหม? เข้าร่วมกับพวกเขา
แหล่งที่มา: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
