Кибершпионаж в энергетическом секторе: NoisyBear атакует нефтегазовые компании Казахстана

Кампания началась с фишинговых писем, отправленных через скомпрометированный корпоративный ящик сотрудника финансового департамента KMG. Сообщение имело пометку «СРОЧНО!» и касалось темы обновлённого графика зарплат, что создавало ощущение срочности и легитимности. Вложение представляло собой ZIP-архив с именем «График.zip», внутри которого находился вредоносный файл ярлыка (LNK) «График зарплат.lnk» и документ-приманка, имитирующий официальное сообщение IT-отдела компании.

Документ-приманка содержал логотип KMG и инструкции на русском и казахском языках, в которых пользователю предлагалось извлечь архив и запустить файл, не закрывая появившееся окно консоли. Это делалось для минимизации подозрений и обеспечения беспрепятственного выполнения вредоносного кода.

Технический анализ кампании выявил многоступенчатую цепочку заражения. Вредоносный LNK-файл использовал утилиту PowerShell для загрузки и выполнения BAT-скрипта с удалённого сервера. Скрипт, в свою очередь, загружал PowerShell-загрузчики, названные исследователями DOWNSHELL. Первый скрипт предназначался для отключения механизма сканирования AMSI (Antimalware Scan Interface), что позволяло обойти защитные решения. Второй загрузчик использовал технику отражённой загрузки (reflective loading) для внедрения в процесс explorer.exe шелл-кода Meterpreter, обеспечивающего обратное соединение с сервером злоумышленников.

Финальная стадия атаки включала запуск вредоносной DLL, которая использовала семафоры для избежания множественного запуска и внедряла шелл-код в процесс rundll32.exe с помощью классической техники hijacking потока выполнения.

Инфраструктура группы NoisyBear размещалась у провайдера Aeza Group LLC, который находится под международными санкциями. Аналитики также обнаружили на этих же серверах подозрительные веб-приложения, связанные с тематикой оздоровления для русскоязычной аудитории, что может указывать на дополнительную деятельность злоумышленников.

На основании таких артефактов, как русскоязычные комментарии в коде, использование санкционного хостинга и схожесть тактик с ранее известными русскоязычными группами, эксперты склоняются к предварительной атрибуции NoisyBear к акторам русского происхождения. Основной целью кампании, вероятно, был шпионаж и длительное присутствие в сетях стратегически важного энергетического сектора Казахстана.

BarrelFire демонстрирует растущую угрозу целевых атак на критическую инфраструктуру стран Центральной Азии и подчёркивает важность повышения осведомлённости сотрудников и внедрения многоуровневой защиты, включающей анализ почтовых вложений, мониторинг необычной активности PowerShell и блокировку подключений к подозрительным внешним ресурсам.

IPv4

• 178.159.94.8
• 77.239.125.41

Domains

• wellfitplan.ru

SHA256

• 021b3d53fe113d014a9700488e31a6fb5e16cb02227de5309f6f93affa4515a6
• 1bfe65acbb9e509f80efcfe04b23daf31381e8b95a98112b81c9a080bdd65a2d
• 1eecfc1c607be3891e955846c7da70b0109db9f9fdf01de45916d3727bff96e0
• 26f009351f4c645ad4df3c1708f74ae2e5f8d22f3b0bbb4568347a2a72651bee
• 5168a1e22ee969db7cea0d3e9eb64db4a0c648eee43da8bacf4c7126f58f0386
• 6d6006eb2baa75712bfe867bf5e4f09288a7d860a4623a4176338993b9ddfb4b
• a40e7eb0cb176d2278c4ab02c4657f9034573ac83cee4cde38096028f243119c
• d48aeb6afcc5a3834b3e4ca9e0672b61f9d945dd41046c9aaf782382a6044f97
• da98b0cbcd784879ba38503946898d747ade08ace1d4f38d0fb966703e078bbf
• f5e7dc5149c453b98d05b73cad7ac1c42b381f72b6f7203546c789f4e750eb26
• fb0f7c35a58a02473f26aabea4f682e2e483db84b606db2eca36aa6c7e7d9cf8