Noisy Bear 利用 BarrelFire 钓鱼攻击哈萨克斯坦能源行业
安全研究人员披露,疑似俄罗斯背景的威胁组织“Noisy Bear”自2025年4月起针对哈萨克斯坦能源巨头KazMunaiGas发动“BarrelFire”行动,通过钓鱼邮件投递LNK文件和恶意脚本,最终部署DLL植入程序并建立反向Shell。其基础设施依托已被制裁的俄罗斯防弹托管商Aeza Group。与此同时,HarfangLab追踪到与白俄罗斯相关的“Ghostwriter”持续攻击乌克兰和波兰,利用带宏的文档和Slack通信加载Cobalt Strike。另有OldGremlin等组织在俄境内发动勒索和信息窃取攻击,出现新型Phantom Stealer与伪装FSB的安卓恶意软件,凸显区域网络威胁加剧。
此次活动代号为“BarrelFire 行动”,与 Seqrite Labs 追踪的一个名为“Noisy Bear”的新威胁组织有关。该威胁行为者至少自 2025 年 4 月起就一直活跃。
安全研究员 Subhajeet Singha 表示:“此次攻击活动针对的是 KazMunaiGas 或 KMG 的员工,威胁实体发送了一份与 KMG IT 部门相关的虚假文件,模仿官方内部通信,并利用政策更新、内部认证程序和薪酬调整等主题。 ”
感染链始于一封包含 ZIP 附件的网络钓鱼电子邮件,其中包含 Windows 快捷方式 (LNK) 下载程序、与 KazMunaiGas 相关的诱饵文档以及一个 README.txt 文件,其中包含用俄语和哈萨克语编写的运行名为“KazMunayGaz_Viewer”的程序的指令。
据该网络安全公司称,这封电子邮件是从 KazMunaiGas 财务部门一名员工的受损电子邮件地址发送的,并于 2025 年 5 月针对该公司的其他员工发起攻击。
LNK 文件载荷旨在投放其他载荷,包括一个恶意批处理脚本,该脚本为名为 DOWNSHELL 的 PowerShell 加载程序铺平了道路。攻击最终以部署基于 DLL 的植入程序(一个 64 位二进制文件)告终,该植入程序可以运行 Shellcode 来启动反向 Shell。
审计及其他
对威胁行为者基础设施的进一步分析表明,它托管在俄罗斯的防弹托管 (BPH) 服务提供商Aeza Group上,该集团因实施恶意活动于 2025 年 7 月受到美国的制裁。
此事发生之际,HarfangLab 将一名与白俄罗斯结盟的威胁行为者Ghostwriter(又名 FrostyNeighbor 或 UNC1151)与自 2025 年 4 月以来针对乌克兰和波兰的活动联系起来,这些活动使用恶意 ZIP 和 RAR 档案,旨在收集有关受感染系统的信息并部署植入物以供进一步利用。
这家法国网络安全公司表示: “这些档案包含带有 VBA 宏的 XLS 电子表格,该宏会释放并加载一个 DLL。后者负责收集有关受感染系统的信息,并从命令与控制 (C2) 服务器检索下一阶段的恶意软件。”
我们发现,该活动的后续迭代会编写一个 Microsoft Cabinet (CAB) 文件以及 LNK 快捷方式,以便从存档中提取并运行 DLL。随后,DLL 会进行初步侦察,然后从外部服务器投放下一阶段的恶意软件。
另一方面,针对波兰的攻击调整了攻击链,使用 Slack 作为信标机制和数据泄露渠道,下载与域 pesthacks[.]icu 建立联系的第二阶段有效载荷。
至少在一个实例中,通过宏 Excel 电子表格释放的 DLL 用于加载 Cobalt Strike Beacon,以促进进一步的后期利用活动。
HarfangLab 表示:“这些细微的变化表明,UAC-0057 可能正在探索替代方案,很可能是为了绕过检测,但优先考虑其行动的连续性或发展,而不是隐秘性和复杂性。”
针对俄罗斯的网络攻击报告#
这一发现是在OldGremlin于 2025 年上半年再次对俄罗斯公司发起勒索攻击之际得出的,该组织使用网络钓鱼电子邮件活动针对了多达八家大型国内工业企业。
卡巴斯基表示,这些入侵行为涉及使用自带漏洞驱动程序 (BYOVD) 技术来禁用受害者计算机上的安全解决方案,并使用合法的 Node.js 解释器来执行恶意脚本。
针对俄罗斯的网络钓鱼攻击还带来了一款名为 Phantom Stealer 的新型信息窃取程序。该程序基于代号为Stealerium 的开源信息窃取程序,利用与成人内容和付款相关的电子邮件诱饵收集各种敏感信息。此外,它还与 Stealerium 的另一个分支程序Warp Stealer有部分重叠。
据 F6 介绍,Phantom Stealer 还继承了 Stealerium 的“PornDetector”模块,该模块通过监视活动浏览器窗口以及标题是否包含可配置的术语列表(如色情、性等),在用户访问色情网站时捕获网络摄像头截图。
CIS 构建套件
Proofpoint 在其恶意软件分析中表示: “这很可能以后会被用来进行‘性勒索’ 。虽然这种功能在网络犯罪恶意软件中并不新鲜,但并不常见。”
近几个月来,俄罗斯组织也成为了Cloud Atlas、PhantomCore和Scaly Wolf等黑客组织的攻击目标,这些组织使用VBShower、PhantomRAT和 PhantomRShell等恶意软件系列来收集敏感信息并投放额外的负载。
另一组活动涉及一款新型安卓恶意软件,该恶意软件伪装成俄罗斯联邦安全局(FSB)开发的杀毒工具,旨在针对俄罗斯企业的代表。这些应用程序的名称包括SECURITY_FSB、ФСБ(俄语中为FSB)以及GuardCB,其中GuardCB试图冒充俄罗斯联邦中央银行。
该恶意软件于 2025 年 1 月首次被发现,它通过获取短信、位置信息、音频和摄像头等广泛权限,窃取即时通讯和浏览器应用程序中的数据、手机摄像头中的流媒体内容并记录键盘输入。它还请求在后台运行、设备管理员权限和辅助功能服务。
Doctor Web表示: “该应用程序的界面仅提供一种语言——俄语。因此,该恶意软件完全针对俄罗斯用户。该后门还使用辅助功能来保护自身,以免在收到威胁行为者的相应命令时被删除。”
关于作者
评论0次