مكتب التحقيقات الفيدرالي يحذر من استغلال جهات فاعلة تابعة لشركة كيمسوكي لرموز الاستجابة السريعة الخبيثة لاستهداف منظمات أمريكية

 

 

تشنّ جماعة كيمسوكي، المدعومة من الدولة الكورية الشمالية، حملات تصيّد إلكتروني جديدة تستغل رموز الاستجابة السريعة (QR) لاختراق المؤسسات الأمريكية.

ويحذر مكتب التحقيقات الفيدرالي (FBI) من أن مراكز الأبحاث والمنظمات غير الحكومية والهيئات الأكاديمية والجهات الحكومية ذات الصلة بكوريا الشمالية تُستدرج الآن برسائل بريد إلكتروني مُضللة تُخفي روابط خبيثة خلف صور رموز الاستجابة السريعة بدلاً من الروابط القابلة للنقر.

ويُسهّل هذا التحوّل إلى رموز الاستجابة السريعة على الجهات الخبيثة نقل الضحايا من أجهزة الشركات المحمية إلى أجهزة محمولة أقل مراقبة. 

في هذه الحملات، ينتحل مُشغّلو برنامج Kimsuky صفة جهات اتصال موثوقة، مثل مستشارين أجانب، أو موظفي سفارات، أو باحثين زملاء. تدعو رسائل البريد الإلكتروني المُستهدفين إلى مسح رمز الاستجابة السريعة (QR code) للانضمام إلى مؤتمر، أو فتح محرك أقراص "آمن"، أو الإجابة على استبيان سياسي.

بمجرد مسح الرمز، يُعاد توجيه المستخدم خلسةً عبر بنية تحتية يتحكم بها المُهاجم، حيث يتم تحديد بصمة الجهاز، ثم تحميل بوابة تسجيل دخول وهمية لخدمات مثل Microsoft 365، وGoogle، وOkta، أو بوابات VPN.

بعد مراجعة البلاغات الأخيرة، اكتشف محللو مركز IC3 أن سلاسل رموز الاستجابة السريعة مُصممة للتحايل على إجراءات أمان البريد الإلكتروني العادية وفحوصات المصادقة متعددة العوامل (MFA)، مع جمع بيانات الاعتماد ورموز جلسات المتصفح خلسةً. 

غالبًا ما تنتهي هذه العمليات بالسيطرة الكاملة على الحساب، وإساءة استخدام البريد الإلكتروني، والوصول طويل الأمد إلى موارد الحوسبة السحابية عبر شبكة الضحية.

يُظهر تحليل مسار الإصابة أن رموز الاستجابة السريعة (QR) تُحوّل المستخدم أولًا إلى نطاقات إعادة التوجيه التي تُسجّل سمات أساسية مثل وكيل المستخدم، ونوع نظام التشغيل، وعنوان IP، واللغة، وحجم الشاشة.

ثم يُقرر منطق الخادم ما إذا كان سيُعرض صفحة تصيّد مُحسّنة للأجهزة المحمولة، أو يُوجّه الضحية إلى موقع آخر إذا بدا الملف الشخصي كبرنامج فحص أو بيئة اختبار معزولة. في الكود، قد تبدو كتلة اتخاذ القرار المُبسّطة على الخادم كما يلي:

بمجرد دخول الضحية إلى الصفحة المزيفة وإدخال كلمة المرور ورمز التحقق لمرة واحدة، تستولي برامج Kimsuky النصية على بيانات الاعتماد وأي ملفات تعريف ارتباط خاصة بالجلسة مرتبطة بعملية تسجيل الدخول. يمكن أن يكون نمط جافا سكريبت الأساسي كالتالي:

 

من خلال إعادة استخدام هذه الرموز، يتجاوز المهاجمون المصادقة متعددة العوامل، وينشئون أو يعدلون قواعد الوصول، وخوادم إعادة التوجيه، وكلمات مرور التطبيقات داخل الحساب.

ومن هناك، يرسلون رسائل احتيالية جديدة تعتمد على رمز الاستجابة السريعة (QR) من صندوق البريد المخترق، مما يجعل كل موجة جديدة تبدو أكثر مصداقية، ويحافظون على سيطرتهم لفترات طويلة.