Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Ким Чен Ын в вашем смартфоне: один скан QR-кода — и вы сами протащили шпиона мимо корпоративной защиты

КНДР Корея Kimsuky QR квишинг фишинг
Ким Чен Ын в вашем смартфоне: один скан QR-кода — и вы сами протащили шпиона мимо корпоративной защиты
КНДР Корея Kimsuky QR квишинг фишинг

Как хакеры превратили безобидный QR-код в «троянского коня», которого в упор не видят системы безопасности.

image

Северокорейские хакеры начали активно использовать QR-коды для кражи учётных данных и обхода корпоративной защиты. Об этом предупредило ФБР, связав новую тактику с группировкой Kimsuky, которую американские спецслужбы считают аффилированной с властями КНДР.

Речь идёт о разновидности QR-фишинга - квишинге. В таких атаках вредоносная ссылка скрыта не в тексте письма, а зашита в QR-код. Злоумышленники рассылают тщательно подготовленные письма и рассчитывают на то, что получатель отсканирует код смартфоном — устройством, которое часто выпадает из поля зрения корпоративных средств защиты.

После сканирования жертву перенаправляют на поддельную страницу входа, имитирующую популярные сервисы вроде Microsoft 365, Okta или корпоративных VPN-порталов. Введённые логины, пароли и данные активных сессий незаметно перехватываются и позже используются для повторного доступа к системам, в том числе с обходом MFA.

По данным ФБР, такие кампании фиксировались на протяжении 2025 года. Основными целями становились аналитические центры, академические учреждения, а также государственные и окологосударственные организации в США и за рубежом, связанные с тематикой Северной Кореи, внешней политики и национальной безопасности.

Сами письма при этом выглядят вполне правдоподобно. Это могут быть приглашения на мероприятия, запросы комментариев к аналитическим материалам или деловая переписка по профильным вопросам. Подвох обнаруживается только после сканирования QR-кода, когда пользователь попадает на контролируемый злоумышленниками ресурс. Получив доступ к учётной записи, атакующие иногда продолжают рассылку фишинговых писем уже от имени скомпрометированного сотрудника.

Квишинг особенно опасен тем, что хорошо обходит привычные средства защиты электронной почты. Почтовые фильтры и системы анализа ссылок не могут «заглянуть» внутрь графического QR-кода. Если же код сканируется с личного или слабо контролируемого мобильного устройства, служба безопасности может заметить компрометацию уже постфактум.

ФБР рекомендует организациям пересмотреть отношение к QR-кодам и отказаться от практики их бездумного использования. Отдельно подчёркивается необходимость рассматривать смартфоны и планшеты как полноценные конечные точки, а также внедрять механизмы проверки QR-ссылок до того, как они будут открыты пользователями.

Новая техника вписывается в более широкую картину киберактивности, связанной с Пхеньяном. Ранее исследователи сообщали о другой северокорейской группе — KONNI, которая злоупотребляла функцией Google Find My Device для удалённого сброса скомпрометированных Android-устройств до заводских настроек. Это позволяло одновременно уничтожать следы шпионской активности и лишать владельцев доступа к своим телефонам.

KONNI также замечали в распространении вредоноса в PDF и документах. По данным компании Genians, инфраструктура этой группы частично пересекается с ресурсами других северокорейских команд, включая Kimsuky.

Как и во многих других случаях, ключевым фактором риска здесь остаётся не сложная техническая уязвимость, а доверие к привычным и, на первый взгляд, безобидным вещам. Даже обычный QR-код может оказаться точкой входа для серьёзной атаки.