ComicForm และ SectorJ149: แฮกเกอร์โจมตี Eurasian ด้วย Formbook Malware ในแคมเปญฟิชชิง

ในปี 2025 นี้ ภัยคุกคามไซเบอร์จากกลุ่มแฮกเกอร์ที่เชื่อมโยงกับ เกาหลีเหนือ และ รัสเซีย กำลังรุนแรง โดย ComicForm และ SectorJ149 ใช้ Formbook Malware โจมตีองค์กรใน เบลารุส คาซัคสถาน รัสเซีย และ เกาหลีใต้ ผ่าน Eurasian Cyberattacks ที่เน้นอุตสาหกรรมการเงิน การท่องเที่ยว และเซมิคอนดักเตอร์ การโจมตีนี้ไม่ใช่แค่ขโมยข้อมูล แต่ใช้ phishing campaign เพื่อหลอกลวงข้อมูลลับ ทำให้ธุรกิจเสี่ยงต่อการสูญเสียครั้งใหญ่ สำหรับกลุ่มเป้าหมายอย่างผู้สนใจความปลอดภัยไซเบอร์และผู้บริหารในอุตสาหกรรม การตื่นตัวต่อภัยจาก North Korea hackers และมัลแวร์คือสิ่งสำคัญ

การโจมตีของ ComicForm: ฟิชชิงที่แฝงในอีเมลเอกสาร

ตั้งแต่เมษายน 2025 กลุ่ม ComicForm ส่งอีเมลฟิชชิงหัวข้อเช่น "Waiting for signed document" หรือ "INvoice for Payment" ไปยังอุตสาหกรรมใน เบลารุส คาซัคสถาน และ รัสเซีย อีเมลจากโดเมน .ru, .by, .kz หลอกให้เหยื่อเปิดไฟล์ RAR ที่ซ่อน EXE ปลอมเป็น PDF เช่น "อักต์_สเวร์กี pdf 010.exe" เมื่อคลิก ไฟล์นี้รัน .NET loader และปล่อย Formbook Malware ผ่าน DLL เช่น "Montero.dll" ซึ่งขโมยข้อมูลเบราว์เซอร์และตั้ง scheduled task เพื่อหลบ Microsoft Defender ที่น่าสนใจคือโค้ดมีลิงก์ Tumblr ชี้ไปที่ GIF ซูเปอร์ฮีโร่ เช่น Batman ซึ่งไม่เกี่ยวข้องแต่ใช้ปกปิดตัวตน

SectorJ149: แฮกติวิสต์โปรรัสเซียเจาะเกาหลีใต้

กลุ่ม SectorJ149 (หรือ UAC-0050) โจมตีอุตสาหกรรมพลังงานและเซมิคอนดักเตอร์ใน เกาหลีใต้ ตั้งแต่พฤศจิกายน 2024 โดยใช้อีเมลฟิชชิงเรื่องใบเสนอราคา ส่ง VBS ผ่าน CAB archive รัน PowerShell ดึงมัลแวร์จาก Bitbucket หรือ GitHub เช่น Lumma Stealer, Formbook Malware, และ Remcos RAT การโจมตีนี้มีกลิ่นอาย hacktivist โปรรัสเซีย เปลี่ยนจากหาเงินมาเป็นส่งข้อความทางการเมือง

ป้องกันภัยจาก Formbook Malware และ Phishing Campaign อย่างไร

ลองนึกภาพคุณได้รับอีเมลจากที่ไม่รู้จัก ขอให้เซ็นเอกสารในไฟล์ RAR สิ่งแรกคือหยุดและตรวจสอบ: อีเมลจาก .ru หรือ .kz นั้นน่าสงสัย อย่าคลิกไฟล์ที่ดูแปลก เช่น PDF ที่เป็น .exe เพราะอาจเป็น Formbook Malware ที่ขโมยรหัสล็อกอินของคุณ ใช้เครื่องมือ sandbox หรือ antivirus เช่น CrowdStrike เพื่อสแกนไฟล์ก่อนเปิด อีกชั้นคือตั้งค่า two-factor authentication (2FA) บนอีเมลและระบบสำคัญ เพื่อป้องกัน Remcos RAT ที่ล้วงข้อมูล ถ้าคุณทำงานในอุตสาหกรรม ให้อบรมทีมเรื่อง North Korea hackers และฟิชชิงที่แฝงใน GitHub หรือหน้า login ปลอมที่ใช้ screenshotapi[.]net สร้างหน้าเว็บหลอก สุดท้าย รักษาระบบให้อัปเดตและตรวจสอบ URL ทุกครั้งก่อนคลิก เพื่อตัดวงจร phishing campaign คุณมีวิธีป้องกันอะไรที่อยากแชร์ไหม?

ตารางเปรียบเทียบ ComicForm และ SectorJ149

กลุ่ม เป้าหมาย วิธีโจมตี มัลแวร์หลัก
ComicForm อุตสาหกรรม Eurasian ฟิชชิง RAR EXE PDF Formbook
SectorJ149 เกาหลีใต้อุตสาหกรรม VBS PowerShell GitHub Formbook, Lumma, Remcos

คำถามที่พบบ่อยเกี่ยวกับ Eurasian Cyberattacks

  • ComicForm คือใคร?
    • กลุ่มแฮกเกอร์ที่ใช้ฟิชชิงโจมตีอุตสาหกรรมใน เบลารุส คาซัคสถาน รัสเซีย
  • Formbook Malware ทำอะไร?
    • ขโมยข้อมูลเบราว์เซอร์และสร้าง backdoor เพื่อควบคุมเครื่อง
  • ป้องกันภัยนี้ยังไง?
    • ตรวจอีเมล ใช้ 2FA อัปเดต antivirus และอบรมพนักงาน

สรุป

ComicForm และ SectorJ149 ใช้ Formbook Malware และฟิชชิงเจาะอุตสาหกรรมใน Eurasian Cyberattacks องค์กรต้องเพิ่มความระวังและใช้เครื่องมือป้องกันเพื่อรับมือภัยจาก North Korea hackers และ hacktivist สมัครรับข่าวสาร เพื่ออัปเดตภัยไซเบอร์ แชร์บทความ นี้ให้เพื่อนในอุตสาหกรรม หรือ แสดงความเห็น ว่าคุณป้องกันภัยฟิชชิงยังไง เพื่อแลกเปลี่ยนไอเดีย!