Source: https://thehackernews.com/2025/09/comicform-and-sectorj149-hackers-deploy.html
🛡 概要
ロシア、ベラルーシ、カザフスタンの組織が、ComicFormという未確認のハッカーグループによるフィッシングキャンペーンの標的となっています。この攻撃は2025年4月から続いており、主に工業、金融、観光、バイオテクノロジー、研究、貿易セクターを狙っています。F6というサイバーセキュリティ企業の分析によると、攻撃者は「署名済み文書を待っています」や「支払いの請求書」といった件名のメールを送り、受信者にRRアーカイブを開くよう促します。その中には、PDF文書を装ったWindows実行ファイルが存在します。
🔍 技術詳細
この実行ファイルは、悪意のあるDLL(「MechMatrix Pro.dll」)を起動するための難読化された.NETローダーです。その後、第三段階のペイロードである「Montero.dll」が実行され、Formbookマルウェアのドロッパーとして機能します。興味深いことに、このバイナリにはバットマンなどの漫画スーパーヒーローのGIFへのTumblrリンクが含まれており、攻撃者の名前の由来となっています。F6は、2025年6月にカザフスタンの企業に対してもフィッシングメールが送信されたことを確認しています。また、2025年7月25日には、カザフスタンの産業会社からロシアの製造業者にフィッシングメールが送信されました。
⚠ 影響
この攻撃は、ロシア、ベラルーシ、カザフスタンの企業に大きな影響を与えています。特に、フィッシングメールに含まれる悪意のあるリンクをクリックしたユーザーは、偽のログインページにリダイレクトされ、入力した情報が攻撃者に送信されます。この手法により、認証情報が盗まれ、さらなる攻撃に利用される可能性があります。SectorJ149という別のプロロシアのサイバー犯罪グループも、韓国の製造業やエネルギー部門を標的にしており、彼らの攻撃も同様に影響を及ぼしています。
🛠 対策
企業は、フィッシング攻撃からの防御を強化するために、従業員への教育を強化する必要があります。特に、不審なメールの件名や添付ファイルには注意を払い、信頼できるソースからの情報のみを使用するようにしましょう。また、セキュリティソフトウェアを最新の状態に保ち、定期的なシステムスキャンを実施することが重要です。さらに、フィッシングメールの特徴を理解し、疑わしいリンクをクリックしないよう徹底することが、被害を未然に防ぐ鍵となります。
