Belarus, Kazakistan ve Rusya’daki Yeni Phishing Tehditleri
Son dönemde Belarus, Kazakistan ve Rusya‘daki organizasyonlar, daha önce belgelenmemiş bir hacking grubunun hedefi haline geldi. Bu grubun adı ComicForm ve en azından Nisan 2025‘ten beri aktivite göstermekte. Siber güvenlik şirketi F6‘nın yaptığı analizlere göre, bu grup özellikle sanayi, finans, turizm, biyoteknoloji, araştırma ve ticaret sektörlerine saldırılar düzenliyor.
Phishing Saldırılarının Yöntemi
ComicForm grubu, hedeflerine ‘imzalı belge bekliyorum’, ‘ödeme için fatura’ veya ‘imza için uzlaşma akti’ gibi konu başlıklarıyla e-postalar gönderiyor. Bu e-postalarda alıcıları, içinde Windows çalıştırılabilir bir dosya barındıran bir RR arşivi açmaları için zorlanıyorlar. Açıkça PDF dökümanı gibi görünen bu dosyanın adı “Акт_сверки pdf 010.exe” şeklinde tasarlanmış. E-postalar genellikle Rusça veya İngilizce yazılmakta ve .ru, .by ve .kz alan adlarına kayıtlı e-postalardan gönderilmektedir.
Kötü Amaçlı Yazılımın İç Yapısı
Gönderilen çalıştırılabilir dosya, zarar vermek hedefiyle tasarlanmış bir .NET yükleyici olup, MechMatrix Pro.dll adlı kötü amaçlı bir DLL dosyasını çalıştırır. Devamında, Formbook adlı zararlı yazılımın atıcı (dropper) görevi gören başka bir DLL olan Montero.dll yüklenir. Tüm bu sürecin yanı sıra, bu kötü amaçlı yazılım, tespit edilmemek için Microsoft Defender’da görevli bir plan oluşturur ve istisnalar ayarlar.
F6’dan araştırmacı Vladislav Kugan, ilginç bir detay olarak, yazılımın içerisinde Tumblr bağlantılarına rastlandığını belirtiyor. Bu bağlantılar, komik süper kahramanların GIF‘lerine yönlendiren masum içeriklerdir. Hedeflerin bilgilerini çalan bu yazılım, saldırının temelini oluşturmaktadır.
Saldırıların Hedefleri ve Etkileri
ComicForm grubu tarafından yürütülen phishing saldırılarının, Kazakistan‘da tanımlanamayan bir şirkete ve Nisan 2025’te bir Belarus bankasına yönelik gerçekleştirildiği tespit edilmiştir. F6, 25 Temmuz 2025’te, Kazakistan merkezli bir endüstriyel şirketten gönderilen e-postalarda Rusya’daki sanayi firmalarını hedef alan phishing e-postalarını tespit ve engelledi.
Bu dijital e-postalar, potansiyel hedeflerin, hesaplarını onaylamak için entegre bir bağlantıya tıklama zorunluluğu ile karşı karşıya kalmasına neden olur. Linke tıklayan kullanıcılar, kimlik bilgilerini çalmak üzere tasarlanmış sahte bir giriş sayfasına yönlendirilir.
Phishing Sayfalarının Çalışma Şekli
Bu sahte sayfalarda ayrıca JavaScript kodu bulunmakta. Bu kod, URL parametrelerinden e-posta adresini alır, giriş alanını doldurur ve e-posta adresinin alan adını çıkararak, phishing sayfasının arka planını o alan adına ait bir web sitesinin ekran görüntüsü ile doldurur. Böylece kurbanların bilgileri, saldırganın kontrolündeki bir alana HTTP POST isteği ile gönderilmektedir.
Söz konusu Belarus bankasına yönelik phishing saldırısı ise, kullanıcılara fatura temalı bir e-posta göndererek, e-posta adresleri ve telefon numaralarını girmeleri için kandırmayı amaçlamaktadır. Bu bilgiler daha sonra dış bir alan adına yönlendirilir.
Diğer Maddeler ve Hedefler
F6, ComicForm grubunun Rus, Belaruslu ve Kazak şirketlerine yönelik çeşitli sektörlerdeki saldırılarda bulunduğunu belirtiyor. İngilizce yazılı e-postaların kullanılması, saldırganların başka ülkelerdeki organizasyonları da hedef aldıklarını göstermektedir. Bu saldırılar, hem FormBook kötü amaçlı yazılımını dağıtan phishing e-postalarını, hem de erişim kimlik bilgilerini çalmak için web hizmetleri olarak gizlenmiş phishing kaynaklarını içermektedir.
Güney Kore’deki Pro-Rus Grubu Hedef Alıyor
Bu bilgiler ışığında, NSHC ThreatRecon ekibi de Güney Kore’deki üretim, enerji ve yarı iletken sektörlerine yönelik bir pro-Rus siber suç grubunu gözler önüne seriyor. SectorJ149 (diğer adıyla UAC-0050) olarak bilinen bu grubun, kasım 2024’teki saldırıları, yöneticilere ve çalışanlara yönelik hedef alımlarla başlamıştır. Bu e-postalar, üretim tesisleri ile ilgili satın alma veya teklif talepleri içermekte olup, sonuç olarak Lumma Stealer, Formbook ve Remcos RAT gibi tehlikeli yazılımların yüklenmesine neden olmaktadır.
Elde edilen verilere göre, SectorJ149 grubu geçmişte genellikle finansal kazanç sağlamak amacıyla faaliyet gösterirken, Kore şirketlerini hedef alan son saldırılar, hacktivist bir doğaya sahip gibi görünmektedir. Bu saldırılar aynı zamanda siyasi, sosyal veya ideolojik mesajlarla yürütülmektedir.
Genel olarak, siber güvenlik alanında yaşanan bu gelişmeler, her düzeydeki kullanıcıların farklı tehditlere karşı nasıl korunması gerektiğini düşünmelerini zorunlu kılmaktadır. Kriz anlarında dikkatli olmak ve gerekli önlemleri almak, dijital dünyada güvenliğin sürdürülebilirliği için kritik öneme sahiptir.
