HackerNews 编译,转载请注明出处:
自 2025 年 4 月起,一个此前未被记录的黑客组织 ComicForm 发起了钓鱼攻击活动,白俄罗斯、哈萨克斯坦和俄罗斯的多家机构成为其攻击目标。
网络安全公司 F6 在上周发布的分析报告中指出,此次攻击活动主要针对工业、金融、旅游、生物技术、科研及贸易行业。
该攻击链的具体流程如下:首先发送主题为 “等待签署文件”“付款发票” 或 “待签署对账单” 的电子邮件,诱导收件人打开一个 RR 压缩文件;压缩文件内包含一个伪装成 PDF 文档的 Windows 可执行文件(例如 “Акт_сверки pdf 010.exe”,俄语 “对账单” 相关文件名)。这些邮件分别以俄语或英语撰写,发送邮箱地址的顶级域名为.ru(俄罗斯)、.by(白俄罗斯)和.kz(哈萨克斯坦)。
上述可执行文件是一个经过混淆处理的.NET 加载器,其作用是启动恶意动态链接库(DLL)“MechMatrix Pro.dll”;随后,该动态链接库会运行第三阶段有效载荷 —— 另一个名为 “Montero.dll” 的动态链接库,该文件实为 Formbook 恶意软件的投放器。在投放恶意软件前,“Montero.dll” 会先创建计划任务,并配置微软防御者(Microsoft Defender)的排除项,以躲避检测。
有趣的是,研究人员发现该可执行文件中还包含指向 Tumblr 平台的链接,这些链接指向蝙蝠侠等漫画超级英雄的完全无害 GIF 动图,黑客组织 “ComicForm” 的名称也正源于此。F6 公司研究员弗拉季斯拉夫・库甘(Vladislav Kugan)表示:“这些图片并未用于任何攻击行为,仅作为恶意软件代码的一部分存在。”
对 ComicForm 组织基础设施的分析显示,2025 年 6 月该组织曾向哈萨克斯坦某未具名企业发送钓鱼邮件,2025 年 4 月则针对白俄罗斯某银行发起过类似攻击。
F6 公司还透露,就在 2025 年 7 月 25 日,他们检测到并拦截了一批钓鱼邮件:这些邮件伪装成来自哈萨克斯坦某工业企业的邮箱地址,发送给俄罗斯的制造企业。邮件诱导潜在目标点击内置链接 “验证账户”,以避免账户 “可能被冻结”。
用户点击链接后,会被重定向至一个伪造的登录页面 —— 该页面模仿当地某文档管理服务的登录界面。一旦用户输入账户信息,这些信息就会通过 HTTP POST 请求发送至黑客控制的域名,从而实现账号窃取。
库甘解释道:“此外,研究人员在该钓鱼页面的代码中发现了一段 JavaScript 脚本,其功能包括:从 URL 参数中提取用户邮箱地址,并自动填充到 ID 为‘email’的输入框中;从邮箱地址中提取域名;通过 screenshotapi [.] net 接口获取该域名官网的截图,并将其设为钓鱼页面的背景(以增强伪装性)。”
针对白俄罗斯某银行的攻击则采用了 “发票主题诱饵”:黑客发送钓鱼邮件,诱导用户在一个表单中输入邮箱地址和手机号,这些信息随后会被捕获并发送至外部黑客域名。
F6 公司指出:“该组织针对俄罗斯、白俄罗斯和哈萨克斯坦多国不同行业的企业发起攻击;而英语版本钓鱼邮件的存在表明,攻击者还将目标拓展到了其他国家的机构。攻击者采用的手段包括两种:一是通过钓鱼邮件分发 FormBook 恶意软件,二是搭建伪装成正规网络服务的钓鱼平台,以窃取账号凭证。”
与此同时,新加坡网络安全公司 NSHC 的 ThreatRecon 团队披露了另一起事件:一个亲俄网络犯罪组织针对韩国的制造、能源及半导体行业发起了攻击。该攻击活动被归因于名为 SectorJ149(又称 UAC-0050)的黑客集群。
2024 年 11 月,研究人员观测到了上述攻击活动。其流程始于针对企业高管及员工的鱼叉式钓鱼邮件,邮件以 “生产设备采购” 或 “报价请求” 相关内容作为诱饵;收件人一旦打开邮件附件,会触发一个伪装成微软压缩包(CAB 格式)的 Visual Basic 脚本(VBScript),该脚本进而执行 Lumma Stealer( Lumma 窃取器)、Formbook(Formbook 恶意软件)和 Remcos RAT(Remcos 远程访问木马)等常见恶意软件。
该 Visual Basic 脚本被设计为执行一条 PowerShell 命令,通过访问 Bitbucket 或 GitHub 代码仓库获取一个 JPG 图片文件 —— 该图片中隐藏着一个加载器可执行文件,最终由该加载器启动窃取器和远程访问木马(RAT)等恶意有效载荷。
NSHC 公司表示:“在内存区域直接执行的可移植可执行文件(PE 格式)恶意软件属于加载器类型。它会通过预设参数中包含的 URL,下载伪装成文本文件(.txt 格式)的额外恶意数据,对其进行解密后,生成并执行新的 PE 格式恶意软件。”
“过去,SectorJ149 组织的活动主要以获取经济利益为目的,但近期针对韩国企业的黑客活动则被认为具有强烈的黑客行动主义(hacktivist)属性 —— 攻击者通过黑客技术传递政治、社会或意识形态相关信息。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
