摘要：攻击链涉及发送带有“等待签名文件”、“付款发票”或“待签名对账法案”等主题的电子邮件，敦促收件人打开一个 RAR 存档，该存档中包含一个伪装成 PDF 文档的 Windows 可执行文件（例如“Акт_сверки pdf 010.exe”）。

自 2025 年 4 月以来，白俄罗斯、哈萨克斯坦和俄罗斯的组织已成为一个名为ComicForm的未记录黑客组织发起的网络钓鱼活动的目标。

网络安全公司 F6 在上周发布的分析报告中表示，此次活动主要针对工业、金融、旅游、生物技术、研究和贸易领域。

攻击链涉及发送带有“等待签名文件”、“付款发票”或“待签名对账法案”等主题的电子邮件，敦促收件人打开一个 RAR 存档，该存档中包含一个伪装成 PDF 文档的 Windows 可执行文件（例如“Акт_сверки pdf 010.exe”）。

这些邮件以俄语或英语书写，并从注册于 .ru、.by 和 .kz 顶级域名的电子邮件地址发送。

该可执行文件是一个经过混淆的 .NET 加载程序，旨在启动恶意 DLL（“MechMatrix Pro.dll”），随后运行第三阶段有效负载，即另一个名为“Montero.dll”的 DLL，它充当Formbook恶意软件的投放器，但在此之前会创建计划任务并配置 Microsoft Defender 排除项以逃避检测。

该二进制文件还被发现包含 Tumblr 链接，这些链接指向蝙蝠侠等漫画超级英雄的 GIF，这些 GIF 图像完全无害。F6 研究员 Vladislav Kugan 表示：“这些图像并未用于任何攻击，只是恶意软件代码的一部分。”

对 ComicForm 基础设施的分析显示，钓鱼电子邮件还曾在 2025 年 6 月针对一家在哈萨克斯坦运营的未指明公司，并在 2025 年 4 月针对一家白俄罗斯银行。

F6 还表示，它最近在 2025 年 7 月 25 日检测并阻止了从一家哈萨克斯坦工业公司的电子邮件地址向俄罗斯制造公司发送的网络钓鱼电子邮件。这些数字信件提示潜在目标点击嵌入的链接来确认他们的帐户并避免潜在的封锁。

点击该链接的用户将被重定向到一个模仿国内文档管理服务登录页面的虚假登录页面，以 HTTP POST 请求的形式将输入的信息传输到攻击者控制的域，从而促进凭证盗窃。

研究人员在页面主体中发现了 JavaScript 代码，该代码从 URL 参数中提取电子邮件地址，用 id="email" 填充输入字段，从电子邮件地址中提取域名，并将该域名网站的屏幕截图（通过 screenshotapi[.]net API）设置为钓鱼页面的背景。

针对白俄罗斯银行的攻击涉及发送带有发票主题诱饵的网络钓鱼电子邮件，诱骗用户在表格中输入他们的电子邮件地址和电话号码，然后捕获这些信息并发送到外部域。

F6 表示：“该组织攻击俄罗斯、白俄罗斯和哈萨克斯坦各行各业的公司，使用英文电子邮件表明攻击者也瞄准了其他国家的组织。攻击者既使用分发 FormBook 恶意软件的钓鱼电子邮件，也使用伪装成 Web 服务的网络钓鱼资源来获取访问凭证。”

此次披露正值 NSHC ThreatRecon 团队披露一个亲俄网络犯罪集团的详细信息之际，该集团主要针对韩国的制造业、能源和半导体行业。该活动被归因于一个名为SectorJ149（又名 UAC-0050）的集群。

这些攻击发生在 2024 年 11 月，最初以针对高管和员工的鱼叉式网络钓鱼电子邮件开始，使用与生产设施采购或报价请求相关的诱饵，最终通过以 Microsoft CAB档案分发 Visual Basic 脚本执行 Lumma Stealer、Formbook 和 Remcos RAT 等商品恶意软件系列。

Visual Basic 脚本旨在运行 PowerShell 命令，该命令可以访问 Bitbucket 或 GitHub 存储库以获取 JPG 图像文件，该文件隐藏了负责启动最终窃取程序和 RAT 有效负载的加载程序可执行文件。

这家新加坡网络安全公司表示：“直接在内存区域执行的 PE 恶意软件是一种加载器类型的恶意软件，它通过提供的参数值中包含的 URL 下载伪装成文本文件（.txt）的其他恶意数据，对其进行解密，然后生成并执行 PE 恶意软件。 ”

“过去，SectorJ149组织主要以经济利益为目的，但最近针对韩国企业的黑客活动被认为具有强烈的黑客行动主义性质，利用黑客技术传达政治、社会或意识形态信息。”

技术报告：

https://medium.com/@nshcthreatrecon/hacking-activities-of-pro-russian-cyber-crime-group-targeting-korean-companies-8e349ae90401

来源：会杀毒的单反狗