ベラルーシ、カザフスタン、ロシアの組織が、少なくとも2025年4月以降、これまで文書化されていなかったハッカーグループComicFormによるフィッシングキャンペーンの標的となっています。
この活動は主に、産業、金融、観光、バイオテクノロジー、研究、貿易分野を標的としており、サイバーセキュリティ企業F6が先週発表した分析で明らかにされました。
攻撃の流れは、「署名済み書類をお待ちしています」「支払い用請求書」「署名用照合報告書」などの件名を持つメールを送信し、受信者にRRアーカイブを開くよう促すものです。そのアーカイブ内には、PDFドキュメントを装ったWindows実行ファイル(例:「Акт_сверки pdf 010.exe」)が存在します。これらのメッセージはロシア語または英語で書かれており、.ru、.by、.kzのトップレベルドメインで登録されたメールアドレスから送信されます。
この実行ファイルは難読化された.NETローダーであり、悪意のあるDLL(「MechMatrix Pro.dll」)を起動するよう設計されています。その後、第3段階のペイロードである別のDLL「Montero.dll」が実行され、Formbookマルウェアのドロッパーとして機能しますが、その前にスケジュールされたタスクの作成やMicrosoft Defenderの除外設定を行い、検知を回避します。
興味深いことに、このバイナリにはバットマンなどのコミックヒーローの無害なGIF画像へのTumblrリンクも含まれており、これが脅威アクターの名前の由来となっています。「これらの画像は攻撃には使用されておらず、単にマルウェアコードの一部でした」とF6の研究者Vladislav Kugan氏は述べています。
ComicFormのインフラストラクチャの分析により、2025年6月にはカザフスタンで活動する未特定の企業、2025年4月にはベラルーシの銀行がフィッシングメールの標的となっていた兆候も明らかになりました。
F6はまた、2025年7月25日にもカザフスタンの産業会社のメールアドレスからロシアの製造業者宛てに送信されたフィッシングメールを検知・ブロックしたと述べています。これらのデジタルメッセージは、受信者にアカウント確認とブロック回避のため、埋め込みリンクをクリックするよう促します。
リンクをクリックしたユーザーは、国内の文書管理サービスのログインページを模倣した偽のランディングページにリダイレクトされ、入力した情報が攻撃者の管理するドメインにHTTP POSTリクエストとして送信されることで、認証情報の窃取が行われます。
「さらに、ページ本体にはJavaScriptコードが存在し、URLパラメータからメールアドレスを抽出してid=”email”の入力欄に自動入力し、メールアドレスからドメインを抽出して、そのドメインのウェブサイトのスクリーンショット(screenshotapi[.]net API経由)をフィッシングページの背景として設定しています」とKugan氏は説明しています。
ベラルーシの銀行を狙った攻撃では、請求書を装ったフィッシングメールを送り、ユーザーにメールアドレスと電話番号をフォームに入力させ、それらを外部ドメインに送信していました。
「このグループはロシア、ベラルーシ、カザフスタンの様々な分野の企業を攻撃しており、英語のメールも使用していることから、他国の組織も標的にしていると考えられます」とF6は述べています。「攻撃者は、FormBookマルウェアを配布するフィッシングメールと、ウェブサービスを装ったフィッシングリソースの両方を用いて、アクセス認証情報の収集を行っています。」
親ロシア系グループ、韓国をFormbookで標的に#
この発表は、NSHC ThreatRecon Teamが韓国の製造、エネルギー、半導体分野を標的とした親ロシア系サイバー犯罪グループの詳細を明らかにしたタイミングで行われました。この活動はSectorJ149(別名UAC-0050)と呼ばれるクラスターに帰属しています。
2024年11月に観測された攻撃は、製造施設の購入や見積依頼に関連する誘導を使ったスピアフィッシングメールで経営層や従業員を標的とし、Microsoftキャビネット(CAB)アーカイブとして配布されたVisual Basic Scriptを介してLumma Stealer、Formbook、Remcos RATなどの一般的なマルウェアファミリーを実行させるものでした。
このVisual Basic Scriptは、PowerShellコマンドを実行してBitbucketやGitHubのリポジトリにアクセスし、JPG画像ファイルを取得します。この画像ファイルにはローダー実行ファイルが隠されており、最終的な情報窃取型マルウェアやRATのペイロードを起動します。
「メモリ領域で直接実行されるPEマルウェアは、指定されたパラメータ値に含まれるURLを通じてテキストファイル(.txt)に偽装した追加の悪意あるデータをダウンロードし、復号化した後、PEマルウェアを生成・実行するローダー型マルウェアです」とシンガポールのサイバーセキュリティ企業は述べています。
「過去にはSectorJ149グループは主に金銭的利益を目的に活動していましたが、最近の韓国企業を標的としたハッキング活動は、ハッキング技術を用いて政治的・社会的・イデオロギー的メッセージを伝える強いハクティビズム的性質を持つと考えられます。」
翻訳元: https://thehackernews.com/2025/09/comicform-and-sectorj149-hackers-deploy.html