TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

FBIが北朝鮮のQRフィッシング キャンペーンを警告

米国の法執行機関は、電子メールセキュリティをバイパスするためにQRコードを使用する継続中の北朝鮮フィッシング キャンペーンについて、国内および海外の組織に新たな警告を発行しました。

昨日発行されたFBIのFlashレポートは、平壌の多産的なKimsuky APTグループが、2025年にこの戦術を使用してシンクタンク、学術機関、および米国および外国の「政府機関」を標的にしたと主張しています。

  • 2025年5月、Kimskyアクターから「外国顧問」になりすまして、シンクタンクリーダーに送信されたメール。朝鮮半島の発展に関する洞察を要求し、「アンケート」にアクセスするためにスキャンするQRコードが特徴でした。
  • 2025年5月、シンクタンクのシニアフェローに送信されたフィッシング メール。大使館職員から送信されたように見えるようになりすまされており、北朝鮮の人権問題への入力を求めており、セキュアドライブへのアクセスを提供すると主張するQRコードが含まれていました。
  • 2025年5月、シンクタンク従業員になりすましたスピア フィッシング メール。被害者をKimsukyインフラストラクチャに誘導するように設計されたQRコードが特徴でした。
  • 2025年6月、「戦略的アドバイザリー企業」に送信されたスピア フィッシング メール。存在しないカンファレンスへの招待。登録ランディング ページに誘導すると主張するQRコードが特徴でしたが、実際には認証情報を収集するために設計されたフェイクGoogleログイン ページに被害者を誘導しました。

Quishingについてもっと読む:ハッカーが新しい「Quishing」攻撃でQRコードを武器化

QRコードベースのフィッシング(クイッシング)の背景にある考え方は、被害者をモバイル デバイスにリダイレクトすることです。モバイル デバイスは、デスクトップ/メール セキュリティ セットアップほど、マルウェア対策機能で保護されていない可能性があります。

「Quishingキャンペーンは、一般的にQR画像をメール添付ファイルまたは埋め込み画像として配信し、URL検査、書き換え、サンドボックスを回避する」とFBIアラートは述べています。

「スキャン後、被害者は攻撃者が制御するリダイレクタを経由してルーティングされます。リダイレクタは、ユーザー エージェント、OS、IPアドレス、ロケール、画面サイズなどのデバイスおよびID属性を収集し、Microsoft 365、Okta、またはVPNポータルになりすましたモバイル最適化の認証情報収集ページを選択的に提示します。」

これは単に認証情報を盗むことだけではありません。FBIはquishing攻撃はしばしばセッション トークン盗難とリプレイで終わると警告しており、脅威アクターが多要素認証(MFA)をバイパスしてクラウド ID をハイジャックするのを支援し、アラームを鳴らさないようにしています。

「敵はその後、組織内に永続性を確立し、侵害されたメールボックスから二次スピア フィッシングを伝播する」とFBIは続けています。

「侵害パスは、通常のエンドポイント検出および応答(EDR)およびネットワーク検査の境界外の非管理モバイル デバイスで発生するため、quishingはエンタープライズ環境で高信頼性でMFA耐性のある ID 侵入ベクトルと見なされます。」

Quishing攻撃をブロックするためのアクションを実行

Quishingは、北朝鮮の脅威アクターの武器庫の多くのツールの1つにすぎません。彼らは通常、サイバースパイと暗号企業から富を抽出することの両方にタスクされています。実際、12月のChainanalysisレポートは、隠者の国は昨年暗号で20億ドル以上を盗んだと主張しました。

  • 従業員教育と認識トレーニングの更新
  • スタッフがQRコード ソースを二次的な手段(例えば、送信者に直接連絡することで)を通じて確認するよう促す。特にログイン情報を入力またはファイルをダウンロードする前に
  • 悪意のある、または疑わしいQRコードを報告するためのプロトコルの確立
  • モバイル デバイス管理(MDM)またはエンドポイント セキュリティを展開して、リンクされたリソースへのアクセスを許可する前にQRコードをスキャン
  • すべてのリモート アクセスと機密システムにフィッシング耐性のあるMFAを要求
  • QRコード スキャン後のすべての認証情報入力およびネットワーク アクティビティのロギング/監視
  • すべてのサービス全体に強力でユニークなパスワード ポリシーを適用
  • 定期的にアカウント権限とアクセス権限を監査し、最小権限ポリシーを適用
  • 定期的にマルウェア対策ツールを更新し、デバイス上の既知の脆弱性にパッチを適用

翻訳元: https://www.infosecurity-magazine.com/news/fbi-warns-north-korean-qr-phishing/

ソース: infosecurity-magazine.com
#Kimsuky #MFA #QRコードフィッシング #クイッシング #サイバーセキュリティ #セッショントークン #フィッシング #モバイルセキュリティ #北朝鮮 #認証情報盗難

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新