北朝鮮のAPT「Kimsuky」が、悪意のあるQRコードを含むスピアフィッシングメールで政府機関、学術機関、シンクタンクを標的にしているとFBIが警告している。
クイッシングと呼ばれるこの種の攻撃では、悪意のあるURLが埋め込まれたQRコードを含むフィッシングメールが用いられ、被害者は社内のコンピュータではなくモバイル端末を使わざるを得なくなる。
このフィッシング手法により、従来のメールセキュリティ制御を回避できるとFBIは最新の警告(PDF)で指摘している。
「クイッシング・キャンペーンでは、QR画像がメールの添付ファイルまたは埋め込みグラフィックとして配信されることが多く、URLの検査、書き換え、サンドボックス化を回避する」とFBIは述べている。
被害者が悪意のあるQRコードをスキャンすると、攻撃者が管理するドメインを経由してリダイレクトされ、ユーザーエージェント、OS、画面サイズ、IPアドレス、ロケールなどの端末情報が収集されるよう設計されている。
この情報により、攻撃者は正規のMicrosoft 365、Okta、またはVPNポータルを模倣したモバイル最適化のフィッシングページを被害者に提示できるとFBIは指摘している。
セッションCookieを盗み、リプレイ攻撃を仕掛けることで、ハッカーは多要素認証(MFA)を回避し、被害者のクラウドIDを乗っ取ると同局は述べている。
初期侵入後、攻撃者は永続化を確立し、侵害したIDを悪用して二次的なスピアフィッシング攻撃を拡散する。
「侵害経路が、通常のエンドポイント検知・対応(EDR)およびネットワーク検査の境界外にある管理されていないモバイル端末から始まるため、クイッシングは現在、企業環境において高い確度でMFAに耐性のあるID侵害ベクターと見なされている」とFBIの警告には記されている。
2025年5月と6月、Kimsukyがシンクタンクおよび戦略アドバイザリー企業を標的とした4件の攻撃でクイッシングを用いているのが確認された。
メールメッセージは外国人顧問、大使館職員、シンクタンク職員になりすまし、アドバイザリー企業の従業員を実在しない会議へ招待していた。
Kimsukyは少なくとも2012年から活動している国家支援のスパイ活動グループで、米国、日本、韓国の組織からの情報収集に注力している。
APT43、Velvet Chollima、Emerald Sleet、TA406、Black Bansheeとしても知られるこのAPTは、制裁回避を助長し平壌の大量破壊兵器計画を支援する活動を理由に、2023年に米国から制裁を科された。
翻訳元: https://www.securityweek.com/fbi-north-korean-spear-phishing-attacks-use-malicious-qr-codes/
