- Kuzey Koreli grup Kimsuky, kimlik bilgilerini çalmak için QR kodu kimlik avı kullanıyor
- Saldırılar, oturum belirteci hırsızlığı yoluyla MFA’yı atlayarak yönetilmeyen mobil cihazlardan EDR korumalarının dışında yararlanır
- FBI çok katmanlı savunmayı teşvik ediyor: çalışan eğitimi, QR raporlama protokolleri ve mobil cihaz yönetimi
Kuzey Koreliler, son derece gelişmiş QR kodu kimlik avı veya ‘quishing’ saldırılarıyla ABD hükümet kurumlarını, düşünce kuruluşlarını ve akademiyi hedef alıyor. Microsoft 365, Okta veya VPN kimlik bilgileri.
Bu, yakın zamanda hem yerli hem de uluslararası ortakları devam eden kampanya hakkında uyaran yeni bir Flash raporu yayınlayan Federal Soruşturma Bürosu’na (FBI) göre.
Raporda, Kimsuky olarak bilinen bir tehdit aktörünün, QR kodlu görseller içeren ikna edici e-postalar gönderdiği belirtildi. Görüntülerin taranması ve kötü amaçlı olarak değerlendirilmesi daha zor olduğundan, e-postalar korumaları daha kolay atlayın ve insanların gelen kutularına ulaşın.
Oturum belirteçlerini ve oturum açma kimlik bilgilerini çalmak
FBI ayrıca kurumsal bilgisayarların genellikle iyi korunduğunu, ancak QR kodlarının en kolay şekilde cep telefonlarıyla (normal Uç Nokta Tespit ve Yanıt (EDR) ve ağ inceleme sınırlarının dışında kalan yönetilmeyen cihazlar) tarandığını söyledi. Bu da saldırıların başarılı olma ihtimalini artırıyor.
Kurban kodu taradığında, bunlar farklı bilgileri ve kullanıcı aracısı gibi kimlik özelliklerini toplayan birden fazla yeniden yönlendirici aracılığıyla gönderilir. işletim sistemiIP adresi, yerel ayar ve ekran boyutu. Bu veriler daha sonra kurbanı, Microsoft 365, Okta veya VPN portallarının kimliğine bürünen, özel olarak oluşturulmuş bir kimlik bilgileri toplama sayfasına yönlendirmek için kullanılır.
Kurban hileyi fark etmez ve oturum açmaya çalışırsa kimlik bilgileri saldırganların eline geçecektir. Dahası, bu saldırılar genellikle oturum belirteci hırsızlığı ve tekrar oynatılmasıyla sonuçlanarak tehdit aktörlerinin çok faktörlü kimlik doğrulamayı atlamasına olanak tanır (MFA) ve olağan “MFA başarısız oldu” uyarısını tetiklemeden bulut hesaplarını ele geçirin.
FBI ayrıca, “Düşmanlar daha sonra organizasyonda kalıcılık sağlıyor ve ele geçirilen posta kutusundan ikincil hedef odaklı kimlik avını yayıyor” dedi. “İhlal yolu, normal Uç Nokta Tespit ve Yanıt (EDR) ve ağ inceleme sınırlarının dışındaki yönetilmeyen mobil cihazlardan kaynaklandığından, iptal etme artık kurumsal ortamlarda yüksek güvenliğe sahip, MFA’ya dayanıklı bir kimlik izinsiz giriş vektörü olarak kabul ediliyor.”
Kimsuky’nin gelişmiş gizleme saldırılarına karşı savunma yapmak için FBI, çalışanların eğitimini, şüpheli QR kodlarını bildirmek için net protokoller oluşturmayı, QR bağlantılı URL’leri analiz edebilen mobil cihaz yönetimini (MDM) dağıtmayı ve daha fazlasını içeren “çok katmanlı” bir güvenlik stratejisi öneriyor.
Aracılığıyla Hacker Haberleri
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.