Giriş
ABD Federal Soruşturma Bürosu (FBI), Kuzey Kore hükümeti destekli siber tehdit aktörlerinin, ülke içindeki varlıklara yönelik kötü amaçlı QR kodları kullanarak gerçekleştirdikleri özel oltalama (spear-phishing) kampanyaları hakkında bir uyarı yayınladı. Bu saldırılar, geleneksel savunmaları aşarak önemli bilgi sızıntılarına yol açabilir.
Saldırı Nasıl Çalışıyor?
Kuzey Koreli Kimsuky grubu, CVE kodları ile kaydedilen zararlı QR kodlarını kullanarak 2025 yılında düşünce kuruluşları ve akademik enstitüler gibi hedeflere saldırdı. Bu tür oltalamalarda, QR kodları, kurumsal güvenlik politikaları tarafından korunan makinelerden, daha az güvenli mobil cihazlara geçiş zorunluluğu yaratıyor. Bu yöntemle, tehdit aktörleri geleneksel savunmaları aşmayı başarıyor.
Etkilenen Sistemler
Kimsuky grubu, aynı zamanda APT43 , Black Banshee , Emerald Sleet , Springtail , TA427 ve Velvet Chollima olarak da bilinir. Bu grubun, e-posta kimlik doğrulama protokollerini aşmak için özel olarak tasarlanmış oltalama kampanyaları konusunda uzun bir geçmişi bulunmaktadır. 2024 yılı Mayıs ayında yayınlanan bir bültende, ABD hükümeti, düzgün yapılandırılmamış DMARC kayıt politikalarını kullanarak, meşru bir alan adı gibi görünen e-postalar gönderdiği için bu grubu eleştirmiştir.
Olayın Özellikleri
FBI, Kimsuky grubunun Mayıs ve Haziran 2025’te kötü amaçlı QR kodları kullandığına dair birkaç örnek gözlemledi:
- Yabancı bir danışmanı taklit eden e-postalar aracılığıyla, Kore Yarımadası’ndaki son gelişmeler hakkında bir düşünce kuruluşu liderinden bilgi almak için QR kod taraması isteme.
- Bir büyükelçilik çalışanını taklit eden e-postalarla, Kuzey Kore insan hakları sorunlarıyla ilgili düşünce kuruluşunun kıdemli bir üyesinden bilgi isteme ve güvenli bir sürücüye erişim sağladığı iddia edilen QR kodu gönderme.
- Düşünce kuruluşu çalışanını taklit ederek, kurbanı kontrol altında tuttukları bir altyapıya yönlendiren QR kodu içeren e-postalar gönderme.
- Stratejik danışmanlık firmasına, e-posta üzerinden elle tutulur bir konferansa katılmaları için QR kodunu taramaya davet eden kötü niyetli saldırılar.
Çözüm ve Korunma
Kimsuky’nin QR kodu kullanan saldırıları, oturum anahtarı hırsızlığı ve tekrar kullanımı ile sonuçlanarak, çok faktörlü kimlik doğrulamayı (MFA) atlayabilmektedir. Böylece tehdit aktörleri, kuruluş içindeki sistemlere sızarak, bu sistemlerden ikinci bir oltalama saldırısı gerçekleştirip, kimlikleri çalmaktadır. Bu tür saldırılar, kurumsal ağların normal EDR sisteme bağlı olmayan yönetilmeyen mobil cihazlardan başlayarak, yüksek güven seviyesine ulaşan bir kimlik ihlali vektörü haline gelmiştir.
Aksiyon
Kuruluşların bu tür saldırılara karşı dikkatli olmaları gerekmektedir. Kullanıcılar:
– Mobil cihazlarınızda güvenli uygulamalar kullanın ve güncellemeleri düzenli olarak yapın.
– Tanımadığınız kaynaklardan gelen QR kodlarına dikkat edin ve taramaktan kaçının.
– Herhangi bir şüpheli e-posta veya QR koduna karşı proaktif olun ve IT departmanınıza bildirin.
– DMARC yapılandırmalarınızı gözden geçirerek, düzgün yapılandırıldığından emin olun.
– Çok faktörlü kimlik doğrulamalarını ve ek güvenlik önlemlerini etkin hale getirin.
