الصفحة الرئيسية
الأرشيف

هجمات ComicForm وSectorJ149 وتصاعد حملة Formbook ضد شركات أوراسيا وآسيا

تحليل شامل لهجمات ComicForm وSectorJ149 في 2025 باستخدام Formbook malware وطرق التصيّد الاحتيالي المتقدمة، وتأثيرها على الأمن السيبراني في روسيا وآسيا
Cybersecurity Arab

في عام 2025، شهدت الساحة الرقمية تصعيداً خطيراً في cybersecurity threat actors الذين يستهدفون قطاعات حيوية في أوراسيا وآسيا. أحدث تقارير شركات الأمن السيبراني تكشف عن نشاط مكثف لمجموعتي ComicForm وSectorJ149، اللتين أطلقتا phishing attacks متقدمة توصلت إلى نشر Formbook malware وسرقة بيانات الاعتماد (credential theft).

هجمات ComicForm وSectorJ149 وتصاعد حملة Formbook ضد شركات أوراسيا وآسيا

ComicForm: حملة تصيّد منظمة تستهدف روسيا وبيلاروسيا وكازاخستان

كشفت شركة F6 Cybersecurity عن spear phishing campaign جديدة تقودها مجموعة ComicForm منذ أبريل 2025.

أبرز القطاعات المستهدفة:

  • الصناعة والتصنيع (industrial sector)
  • الخدمات المالية والبنوك
  • السياحة والتجارة الدولية
  • التكنولوجيا الحيوية ومراكز البحث العلمي

تكتيكات الهجوم (Attack Chain):

  1. إرسال Phishing emails بعناوين مثل Invoice for Payment وWaiting for the signed document
  2. إرفاق ملف RR archive يحتوي على ملف تنفيذي (.exe) متخفي كوثيقة PDF
  3. تشغيل obfuscated .NET loader الذي يحمّل مكتبة DLL خبيثة ("Montero.dll")
  4. تثبيت Formbook malware بعد تعطيل الحماية عبر Microsoft Defender evasion وإنشاء Scheduled Tasks لضمان الاستمرارية

البرمجية الخبيثة تحتوي أيضاً على روابط GIF لأبطال الكوميك مثل Batman، ما منح المجموعة اسمها المميز ComicForm.

SectorJ149: هجمات Hacktivist تستهدف كوريا الجنوبية

في تقرير آخر من NSHC ThreatRecon، تم رصد نشاط مجموعة SectorJ149 (UAC-0050) التي استهدفت شركات كورية جنوبية في قطاعات الطاقة، التصنيع، وأشباه الموصلات منذ نوفمبر 2024.

تقنيات الهجوم:

  • إرسال spear phishing emails إلى التنفيذيين تحتوي على عروض شراء وهمية
  • توزيع برمجيات خبيثة مثل Lumma Stealer, Formbook, وRemcos RAT
  • استغلال VBScript + PowerShell لجلب برمجيات من GitHub/Bitbucket مخفية داخل ملفات JPG
  • استخدام تقنيات in-memory malware execution لتفادي أنظمة كشف التهديدات

تشير NSHC إلى أن هذه الهجمات لم تعد تقتصر على دوافع مالية فقط، بل أصبحت تحمل طابع hacktivist attacks تهدف لإيصال رسائل سياسية واجتماعية.

تداعيات أمنية وتوصيات الحماية

تؤكد هذه الحوادث أن Advanced Persistent Threats (APT) لم تعد حكراً على جهات استخباراتية بل أصبحت أداة متاحة لمجموعات متنوعة تسعى لتحقيق أهداف مالية أو سياسية.

أهم توصيات الحماية:

  • تفعيل multi-factor authentication (MFA) على حسابات الشركات
  • تدريب الموظفين على كشف phishing attacks وتقارير الهندسة الاجتماعية
  • استخدام حلول EDR/XDR لمراقبة الشبكة والكشف عن in-memory malware
  • تحديث الأنظمة والبرمجيات بشكل مستمر لسد الثغرات الأمنية

خلاصة

أظهرت حملات ComicForm وSectorJ149 أن Formbook malware 2025 ما يزال يشكل تهديداً محورياً للأمن السيبراني العالمي. مع تطور أساليب credential theft campaigns وMicrosoft Defender evasion techniques، على المؤسسات الاستعداد لمواجهة موجة جديدة من الهجمات المعقدة التي قد تعطل الأعمال أو تؤدي لتسريبات خطيرة.

إرسال تعليق