สำนักงานสอบสวนกลางสหรัฐฯ (FBI) ได้ออกคำเตือนเกี่ยวกับกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือชื่อ Kimsuky (รู้จักกันในชื่อ APT43, Black Banshee, Emerald Sleet, Springtail, TA427 และ Velvet Chollima) ที่กำลังใช้โค้ด QR ที่เป็นอันตรายในการโจมตีแบบ Spear-Phishing ซึ่งเป็นที่รู้จักในชื่อ “quishing” การโจมตีนี้มีเป้าหมายเพื่อหลีกเลี่ยงการยืนยันตัวตนแบบหลายปัจจัย (MFA) ขโมย Session Token และเข้ายึดบัญชี Cloud Identities โดยการหลอกให้เหยื่อเปลี่ยนไปใช้อุปกรณ์มือถือที่มีการป้องกันน้อยกว่า บทความระบุว่ามีการโจมตีเป้าหมาย เช่น สถาบันวิจัย สถาบันการศึกษา และหน่วยงานรัฐบาลทั้งในสหรัฐฯ และต่างประเทศ โดยมีรายงานเหตุการณ์ในเดือนพฤษภาคมและมิถุนายน 2025 ที่เกี่ยวข้องกับการปลอมแปลงตัวตน หน้าแบบสอบถามปลอม การอ้างสิทธิ์เข้าถึงไดรฟ์ที่ปลอดภัย และการลงทะเบียนการประชุมปลอมเพื่อเก็บข้อมูลรับรองบัญชี Google และแจกจ่ายมัลแวร์ Android เช่น DocSwap
Severity: วิกฤต
System Impact:
- สถาบันวิจัย (Think Tanks)
- สถาบันการศึกษา (Academic Institutions)
- หน่วยงานรัฐบาลสหรัฐฯ และต่างประเทศ (U.S. and Foreign Government Entities)
- อุปกรณ์มือถือ (Mobile Devices)
- สภาพแวดล้อมองค์กร (Enterprise Environments)
- โปรโตคอลการยืนยันตัวตนอีเมล (Email Authentication Protocols – DMARC)
- บัญชีและข้อมูลรับรอง Google (Google Accounts/Credentials)
- Cloud Identities
- ระบบ Endpoint Detection and Response (EDR)
- ระบบตรวจสอบเครือข่าย (Network Inspection Boundaries)
- กล่องจดหมายที่ถูกบุกรุก (Compromised Mailboxes)
Technical Attack Steps:
- กลุ่มแฮกเกอร์ Kimsuky ส่งอีเมล Spear-Phishing ที่มีโค้ด QR ที่เป็นอันตราย (quishing) ไปยังเป้าหมาย.
- อีเมลดังกล่าวปลอมแปลงเป็นบุคคลหรือหน่วยงานที่น่าเชื่อถือ เช่น ที่ปรึกษาต่างประเทศ พนักงานสถานทูต หรือพนักงานของสถาบันวิจัย.
- เป้าหมายถูกชักจูงให้สแกนโค้ด QR ซึ่งจะเปลี่ยนเส้นทางพวกเขาจากคอมพิวเตอร์องค์กรที่ได้รับการป้องกันไปยังอุปกรณ์มือถือที่อาจมีความปลอดภัยต่ำกว่า.
- โค้ด QR นำเหยื่อไปยังโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตี หรือหน้าล็อกอินปลอม (เช่น หน้าล็อกอิน Google) เพื่อขโมยข้อมูลรับรอง.
- มีการขโมยและนำ Session Token กลับมาใช้ใหม่ (session token theft and replay).
- ผู้โจมตีสามารถข้ามการยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้.
- บัญชี Cloud Identity ของเหยื่อถูกยึดครอง.
- ผู้โจมตีสร้างความคงอยู่ (persistence) ในองค์กรและใช้กล่องจดหมายที่ถูกบุกรุกเพื่อแพร่กระจายการโจมตี Spear-Phishing เพิ่มเติม.
- ในบางกรณี มีการแจกจ่ายมัลแวร์ Android ชื่อ DocSwap ผ่านโค้ด QR ที่เป็นอันตราย.
Recommendations:
Short Term:
- ระมัดระวังอีเมลที่ไม่พึงประสงค์ โดยเฉพาะอย่างยิ่งที่มีโค้ด QR.
- ตรวจสอบยืนยันตัวตนของผู้ส่งและแหล่งที่มาของโค้ด QR เสมอ ก่อนที่จะดำเนินการใดๆ.
- หลีกเลี่ยงการสแกนโค้ด QR จากแหล่งที่ไม่น่าเชื่อถือหรือที่ไม่คาดคิด.
- ให้ความรู้แก่ผู้ใช้งานเกี่ยวกับภัยคุกคาม “quishing” และวิธีการรับมือกับกลยุทธ์การโจมตีดังกล่าว.
- ตรวจสอบและปรับปรุงนโยบาย DMARC (Domain-based Message Authentication, Reporting, and Conformance) ให้เหมาะสมเพื่อป้องกันการปลอมแปลงอีเมล.
Long Term:
- เสริมสร้างความแข็งแกร่งของการยืนยันตัวตนแบบหลายปัจจัย (MFA) เช่น การใช้ FIDO2 keys หรือ Biometrics แทน OTP แบบดั้งเดิมที่อาจถูกข้ามได้ง่ายกว่า.
- ปรับปรุงนโยบายความปลอดภัยสำหรับอุปกรณ์มือถือ และพิจารณาติดตั้งระบบ EDR (Endpoint Detection and Response) บนอุปกรณ์มือถือขององค์กร.
- จัดการฝึกอบรมความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ให้แก่พนักงานอย่างสม่ำเสมอ โดยเน้นภัยคุกคามใหม่ๆ เช่น quishing.
- ใช้ระบบจัดการ Cloud Identity และ Access Management (IAM) ที่แข็งแกร่งเพื่อควบคุมและตรวจสอบการเข้าถึงบัญชีคลาวด์.
- เฝ้าระวังการขโมย Session Token และกิจกรรมการเข้าสู่ระบบที่ผิดปกติอย่างต่อเนื่อง โดยใช้เครื่องมือ Security Information and Event Management (SIEM) หรือ Security Orchestration, Automation, and Response (SOAR).
Source: https://thehackernews.com/2026/01/fbi-warns-north-korean-hackers-using.html
Share this content: