- Северокорейская группа Kimsuky использует фишинг QR-кода для кражи учетных данных
- Атаки обходят MFA посредством кражи токена сеанса и используют неуправляемые мобильные устройства за пределами защиты EDR.
- ФБР призывает к многоуровневой защите: обучение сотрудников, протоколы QR-отчетности и управление мобильными устройствами.
Северокорейцы нацелены на правительственные учреждения, аналитические центры и колледжи США с помощью изощренных фишинговых или «квишинговых» атак с использованием QR-кодов с использованием учетных данных Microsoft 365, Okta или VPN.
Об этом сообщает Федеральное бюро расследований (ФБР), которое недавно опубликовало новый экстренный отчет, предупреждающий как внутренних, так и международных партнеров о продолжающейся кампании.
В отчете говорится, что злоумышленник по имени Кимсуки рассылает убедительные электронные письма, содержащие изображения с QR-кодами. Поскольку изображения сложнее сканировать и классифицировать как вредоносные, Электронные письма легче обходят защитные меры и попадают в почтовые ящики людей.
Кража сессионных токенов и учетных данных
В ФБР также заявили, что, хотя корпоративные компьютеры, как правило, хорошо защищены, QR-коды легче всего сканировать с помощью мобильных телефонов — неуправляемых устройств, выходящих за пределы обычного обнаружения и реагирования конечных точек (EDR) и границ проверки сети. Это также увеличивает шансы на успех атак.
Когда жертва сканирует код, он отправляется через несколько перенаправителей, которые собирают различную информацию и атрибуты идентификации, такие как: B. Пользовательский агент, Операционная система, IP-адрес, локаль и размер экрана. Эти данные затем используются для перехода жертвы на специальную страницу сбора учетных данных и выдачи себя за портал Microsoft 365, Okta или VPN.
Если жертва не распознает уловку и попытается войти в систему, учетные данные попадут к злоумышленникам. Кроме того, эти атаки часто заканчиваются кражей и повторением токена сеанса, что позволяет злоумышленникам обходить многофакторную аутентификацию (MFA) и захватывать облачные учетные записи, не вызывая обычного предупреждения «Ошибка MFA».
«Затем злоумышленники закрепляются внутри организации и распространяют вторичный целевой фишинг из скомпрометированного почтового ящика», — продолжили в ФБР. «Поскольку путь компрометации начинается на неуправляемых мобильных устройствах за пределами обычных границ обнаружения и реагирования конечных точек (EDR) и проверки сети, quishing теперь считается высоконадежным, устойчивым к MFA вектором атаки на идентификацию в корпоративных средах».
Для борьбы со сложными атаками Кимсуки ФБР рекомендует «многоуровневую» стратегию безопасности, которая включает в себя обучение сотрудников, создание четких протоколов для сообщения о подозрительных QR-кодах, использование управления мобильными устройствами (MDM) для анализа URL-адресов, связанных с QR, и многое другое.
Лучшая антивирусная программа на любой бюджет
Следите за TechRadar в Новостях Google. И Добавьте нас в качестве предпочтительного источника чтобы получать новости, обзоры и мнения наших экспертов в своих лентах. Обязательно нажмите кнопку «Подписаться»!
И ты, конечно, тоже можешь Следите за TechRadar в TikTok за новостями, обзорами, распаковками в видео-форме и получайте от нас регулярные обновления WhatsApp к.
