Belarus, Kazakistan ve Rusya’daki kuruluşlar, daha önce belgelenmemiş bir hack grubunun üstlendiği bir kimlik avı kampanyasının hedefi olarak ortaya çıktı. Comicform En azından Nisan 2025’ten beri.
Siber güvenlik şirketi F6, geçen hafta yayınlanan bir analizde, faaliyetin öncelikle endüstriyel, finans, turizm, biyoteknoloji, araştırma ve ticaret sektörlerini hedef aldığını söyledi.
Saldırı zinciri, “İmzalı Belgeyi Beklemek”, “Ödeme Faturası” veya “İmza İçin Uzlaşma Yasası” gibi konu satırlarını taşıyan e -postaları göndermeyi içerir, alıcıları bir PDF belgesi olarak maskelenen bir Windows yürütülebilir dosyası var olan bir RR arşivi açmaya çağırır. Rus veya İngilizce olarak yazılmış mesajlar, .ru, .by ve .kz üst düzey alanlarda kaydedilen e-posta adreslerinden gönderilir.
Yürütülebilir, daha sonra üçüncü aşamalı bir yükü çalıştıran kötü amaçlı bir DLL (“Mechmatrix Pro.dll”) başlatmak için tasarlanmış bir .NET yükleyicidir, ancak Formbook kötü amaçlı yazılımlar için bir damlalık görevi gören, ancak Microsoft Defender’ın tespit edilmesi için Microsoft Defender’ın yapılandırılmasından önce “Montero.dll” adlı başka bir DLL.
İlginç bir şekilde, ikili, Batman gibi komik süper kahramanların tamamen zararsız GIF’lerine işaret eden ve tehdit oyuncusuna adını veren Tumblr bağlantıları içerdiği bulunmuştur. F6 araştırmacısı Vladislav Kugan, “Bu görüntüler herhangi bir saldırıda kullanılmadı, ancak sadece kötü amaçlı yazılım kodunun bir parçasıydı.” Dedi.
ComicForm’un altyapısının analizi, Haziran 2025’te Kazakistan’da faaliyet gösteren belirtilmemiş bir şirkete ve Nisan 2025’te Belarus Bankası’na karşı belirtilmemiş bir şirkete yönlendirildiğine dair işaretler ortaya koydu.
F6 ayrıca, 25 Temmuz 2025’e kadar Kazakistan merkezli bir endüstriyel şirketin e-posta adresinden Rus imalat şirketlerine gönderilen kimlik avı e-postalarını tespit ettiğini ve engellediğini söyledi. Bu dijital misyonlar muhtemel hedeflerin hesaplarını onaylamak ve potansiyel bir bloktan kaçınmak için gömülü bir bağlantıyı tıklamasını istedi.
Bağlantıyı tıklayan kullanıcılar, girilen bilgileri bir HTTP post isteği şeklinde saldırgan kontrollü bir alana ileterek kimlik bilgisi hırsızlığını kolaylaştırmak için bir yerel belge yönetimi hizmetinin oturum açma sayfasını taklit eden sahte bir açılış sayfasına yönlendirilir.
“Ek olarak, e -posta adresini URL parametrelerinden çıkaran, giriş alanını ID =” e -posta “ile dolduran, e -posta adresinden alan adını çıkaran ve bu alanının web sitesinin bir ekran görüntüsünü ayarlayan JavaScript kodu bulundu (ScroeShotapi aracılığıyla ([.]Net API) Kimlik avı sayfasının arka planı olarak, “diye açıkladı Kugan.
Belarus Bankası’na yönelik saldırı, kullanıcıları e-posta adreslerini ve telefon numaralarını bir formda girmeye kandırmak için fatura temalı bir cazibeli bir kimlik avı e-postası göndermeyi ve daha sonra yakalanan ve harici bir alana gönderildi.
F6, “Grup çeşitli sektörlerden Rus, Belarus ve Kazak şirketlerine saldırıyor ve İngilizce e-postaların kullanımı, saldırganların da diğer ülkelerdeki kuruluşları hedeflediğini gösteriyor.” Dedi. “Saldırganlar, Formbook kötü amaçlı yazılımları ve erişim kimlik bilgilerini hasat etmek için web hizmetleri olarak gizlenmiş kimlik avı kaynaklarını dağıtan kimlik avı e -postalarını kullanıyor.”
Rus yanlısı grup Formbook ile Güney Kore’yi hedefliyor
Açıklama, NSHC Threatrecon ekibinin Güney Kore’de üretim, enerji ve yarı iletken sektörlerini hedefleyen bir Rus yanlısı siber suç grubunun ayrıntılarını açıkladığı zaman geliyor. Etkinlik, sectorj149 (diğer adıyla UAC-0050) adlı bir kümeye bağlanmıştır.
Kasım 2024’te gözlemlenen saldırılar, üretim tesisi alımları veya tırnak talepleri ile ilgili yemleri kullanan yöneticileri ve çalışanları hedefleyen mızrak-aktı e-postaları ile başladı ve Lumma Stealer, Formbook ve Remcos Rat gibi, bir görsel temel senaryo gibi emtia kötü amaçlı ailelerin yürütülmesine yol açtı.
Visual Basic komut dosyası, son çalan ve sıçan yüklerini başlatmaktan sorumlu bir yükleyici yürütülebilir dosyasını gizleyen bir JPG görüntü dosyası almak için bir Bitbucket veya GitHub deposuna ulaşan bir PowerShell komutu çalıştırmak üzere tasarlanmıştır.
Singapur Siberlik Şirketi, “Doğrudan bellek alanında yürütülen PE kötü amaçlı yazılım, sağlanan parametre değerlerine dahil olan bir URL aracılığıyla bir metin dosyası (.txt) olarak gizlenen ek kötü amaçlı verileri indiren yükleyici tipi bir kötü amaçlı yazılımdır.
“Geçmişte, sektör149 grubunun öncelikle finansal kazanç için faaliyet gösterdiği, ancak Koreli şirketleri hedefleyen son hackleme faaliyetlerinin, siyasi, sosyal veya ideolojik mesajları iletmek için hack tekniklerini kullanarak güçlü bir hacktivist doğaya sahip olduğuna inanılıyor.”