حذر مكتب التحقيقات الفيدرالي الأمريكي (FBI) من حملات تصيد إلكتروني جديدة تستخدم رموز الاستجابة السريعة (QR) الخبيثة، وتحديداً من قبل مجموعة Kimsuky المرتبطة بكوريا الشمالية، لاستهداف المنظمات الأمريكية. تركز هذه الحملات على جهات مثل مراكز الفكر والمنظمات غير الربحية والهيئات الأكاديمية والمؤسسات الحكومية التي لها علاقات بكوريا الشمالية.
تستغل الجهات الفاعلة الخبيثة ما يُعرف بـ “Quishing” عبر رسائل بريد إلكتروني تحتوي على رموز QR بدلاً من الروابط القابلة للنقر. يهدف هذا التغيير إلى استدراج الضحايا بعيدًا عن نقاط النهاية المؤسسية المحمية نحو الأجهزة المحمولة التي تخضع لمراقبة أقل.
حملات Kimsuky الإلكترونية الجديدة تستغل رموز QR الخبيثة
تقوم مجموعة Kimsuky، وهي منظمة ترعاها الدولة الكورية الشمالية، بتنفيذ حملات تصيد احتيالي جديدة تستهدف المنظمات الأمريكية. تستخدم هذه الحملات رموز QR الخبيثة كوسيلة أساسية للوصول إلى أنظمة الضحايا، مما يشكل تهديدًا جديدًا ومتطورًا في المشهد السيبراني.
تعمل المجموعة على انتحال شخصيات جهات اتصال موثوقة، مثل المستشارين الأجانب أو موظفي السفارات أو الباحثين الزملاء. غالبًا ما تدعو رسائل البريد الإلكتروني المستلمين إلى مسح رمز QR للانضمام إلى مؤتمر، أو فتح “محرك أقراص آمن”، أو المشاركة في استبيان حول السياسات.
آلية الهجوم والتصدي
بمجرد مسح رمز الاستجابة السريعة، يقوم بتحويل المستخدم بصمت عبر بنية تحتية يتحكم بها المهاجم. تقوم هذه البنية بتحديد خصائص الجهاز وتحميل صفحة تسجيل دخول وهمية لخدمات شائعة مثل Microsoft 365، Google، Okta، أو بوابات VPN.
وفقًا لتحليلات مركز تتبع جرائم الإنترنت (IC3) التابع لمكتب التحقيقات الفيدرالي، فإن سلاسل رموز QR هذه مصممة لتجاوز إجراءات الأمان المعتادة ورسائل المصادقة متعددة العوامل (MFA)، بينما تقوم في نفس الوقت بسرقة بيانات الاعتماد ورموز جلسات المتصفح.
غالبًا ما تؤدي هذه العمليات إلى الاستيلاء الكامل على الحسابات، وإساءة استخدام صناديق البريد، والحصول على وصول طويل الأمد إلى الموارد السحابية عبر شبكة الضحية. هذا يمنح المهاجمين قدرة كبيرة على التحرك داخل الشبكة المستهدفة.
تفاصيل تقنية لتجاوز الدفاعات
تظهر تفاصيل مسار الإصابة أن رموز QR توجه المستخدم أولاً إلى نطاقات إعادة توجيه تسجل سمات رئيسية مثل وكيل المستخدم، ونوع نظام التشغيل، وعنوان IP، واللغة، وحجم الشاشة. ثم يقرر المنطق من جانب الخادم ما إذا كان سيتم عرض صفحة تصيد محسّنة للأجهزة المحمولة أو توجيه الضحية بعيدًا إذا كان الملف الشخصي يبدو وكأنه ماسح ضوئي أو بيئة افتراضية.
بمجرد دخول الضحية إلى الصفحة الوهمية وإدخال كلمة المرور والرمز لمرة واحدة، تلتقط نصوص Kimsuky البرمجية بيانات الاعتماد وأي ملفات تعريف الارتباط الخاصة بالجلسة المرتبطة بتدفق تسجيل الدخول. من خلال إعادة استخدام هذه الرموز، يمكن للمهاجمين تجاوز MFA وإنشاء أو تعديل قواعد الوصول، وإعادة التوجيه، وكلمات مرور التطبيقات داخل الحساب.
من هذه النقطة، يمكن للمهاجمين إرسال رسائل احتيالية جديدة تستخدم رموز QR من صندوق البريد المخترق، مما يجعل كل موجة جديدة تبدو أكثر موثوقية ويحافظ على وجودهم النشط لفترات طويلة. هذا يعكس التطور المستمر في أساليب الهجوم السيبراني.