Muhtemelen Rus kökenli bir tehdit oyuncusu Kazakistan’daki enerji sektörünü hedefleyen yeni bir saldırılara bağlandı.
Operasyon Barrelfire Operasyonu olan etkinlik, Seqrite Labs tarafından gürültülü ayı olarak izlenen yeni bir tehdit grubuna bağlı. Tehdit oyuncusu en az Nisan 2025’ten beri aktif.
Güvenlik Araştırmacısı Subhajeet Singha, “Kampanya, tehdit kuruluşunun KMG BT departmanı ile ilgili sahte bir belge sunduğu, resmi iç iletişimi taklit eden ve politika güncellemeleri, iç sertifika prosedürleri ve maaş ayarlamaları gibi temalardan yararlandığı Kazmunaigas veya KMG çalışanlarına yöneliktir.” Dedi.
Enfeksiyon zinciri, bir Windows kısayolu (LNK) indiricisi, Kazmunaigas ile ilgili bir tuzak belgesi ve “Kazmunaygaz_viewer” adlı bir program çalıştırmak için hem Rusça hem de Kazak’ta yazılmış talimatları içeren bir okuma belgesi içeren bir kimlik avı e -postası ile başlar.
Siber güvenlik şirketine göre e -posta, Kazmunaigas Finans Departmanında çalışan bir bireyin tehlikeye atılmış bir e -posta adresinden gönderildi ve Mayıs 2025’te firmanın diğer çalışanlarını hedef aldı.
LNK dosya yükü, sarkan olarak adlandırılan bir PowerShell yükleyicisinin yolunu açan kötü amaçlı bir toplu komut dosyası da dahil olmak üzere ek yükler bırakmak için tasarlanmıştır. Saldırılar, bir ters kabuk başlatmak için kabuk kodunu çalıştırabilen 64 bitlik bir ikili olan DLL tabanlı bir implantın dağıtımıyla sonuçlanır.
Tehdit oyuncusunun altyapısının daha fazla analizi, ABD tarafından Temmuz 2025’te kötü niyetli faaliyetler sağlamak için onaylanan Rusya merkezli kurşun geçirmez hosting (BPH) servis sağlayıcısı Aeza Group’ta düzenlendiğini ortaya koydu.
Geliştirme, Harfanglab’ın Ghostwriter olarak bilinen Belarus’a hizalanmış bir tehdit aktörünü (aka Frostyneighbor veya UNC1151) Nisan 2025’ten bu yana, düzenli sistemler hakkında bilgi toplamayı ve daha fazla istismar için implantlar seçmeyi amaçlayan Rogue Zip ve RAR arşivleri ile Hedeflenen kampanyalara bağladığı gibi geliyor.
Fransız siber güvenlik şirketi, “Bu arşivler, bir DLL düşen ve yükleyen bir VBA makrosuna sahip XLS e -tabloları içeriyor.” Dedi. “İkincisi, tehlikeye atılan sistem hakkında bilgi toplamak ve bir komut ve kontrol (C2) sunucusundan sonraki aşamalı kötü amaçlı yazılım almaktan sorumludur.”
Kampanyanın sonraki yinelemelerinin, DLL’yi arşivden çıkarmak ve çalıştırmak için LNK kısayolu ile birlikte bir Microsoft kabinesi (CAB) dosyası yazdığı bulunmuştur. DLL daha sonra, bir sonraki aşamalı kötü amaçlı yazılımları harici sunucudan bırakmadan önce ilk keşif yapmaya devam eder.
Polonya’yı hedefleyen saldırılar ise, bir işaretleme mekanizması ve veri söndürme kanalı olarak Slack’i kullanmak için saldırı zincirini değiştirerek, karşılığında etki alanı pesthack’leriyle temas kuran ikinci aşamalı bir yükü indirerek[.]YBÜ.
En azından bir örnekte, makro bağcıklı Excel elektronik tablosundan düşen DLL, daha fazla sömürme sonrası etkinliği kolaylaştırmak için bir kobalt grev işaretini yüklemek için kullanılır.
Harfanglab, “Bu küçük değişiklikler, UAC-0057’nin alternatifleri araştırabileceğini, ancak tespit konusunda çalışma girişiminde, ancak operasyonlarının gizli ve sofistike konusundaki sürekliliğine veya gelişimine öncelik verebileceğini gösteriyor.” Dedi.
Rusya’ya karşı bildirilen siber saldırılar
Bulgular, Oldgremlin’in 2025’in ilk yarısında Rus şirketlerine yenilenen gasp saldırılarının ortasında, kimlik avı e -posta kampanyalarını kullanarak sekiz büyük yerli endüstriyel işletmeyi hedefliyor.
Kaspersky’ye göre müdahaleler, kurbanların bilgisayarlarındaki güvenlik çözümlerini ve kötü amaçlı komut dosyalarını yürütmek için meşru node.js tercümanını devre dışı bırakmak için kendi savunmasız sürücünüzü (BYOVD) tekniğinizi getirmeyi içeriyordu.
Rusya’ya yönelik kimlik avı saldırıları, yetişkin içeriği ve ödemelerle ilgili e-posta yemlerini kullanarak çok çeşitli hassas bilgileri toplamak için Stealerium adlı açık kaynaklı bir stealer’a dayanan Phantom Stealer adlı yeni bir bilgi çalma sundu. Ayrıca, Warp Stealer olarak bilinen başka bir stealerium dalı ile örtüşüyor.
F6’ya göre, Phantom Stealer ayrıca, kullanıcılar etkin tarayıcı penceresinde sekmeler tutarak pornografik web sitelerini ziyaret ettiğinde ve başlığın diğerleri arasında porno ve seks gibi yapılandırılabilir bir liste içerip içermediği pornografik web sitelerini ziyaret ettiğinde web kamerası ekran görüntülerini yakalayan “Porndetector” modülünü devralır.
“Bu daha sonra daha sonra ‘sekstrom’ için kullanılır,” dedi Proofpoint kendi kötü amaçlı yazılım analizinde. “Bu özellik siber suç kötü amaçlı yazılımlar arasında yeni olmasa da, sıklıkla gözlenmiyor.”
Son aylarda, Rus örgütleri de hassas bilgileri hasat etmek ve VBShower, Phantomrat ve Phantomrshell gibi kötü amaçlı aileler kullanarak ek yükler sunmak için bulut atlası, fantomcore ve pullu kurt olarak izlenen grupları koruyan saldırıların alıcı sonunda olmuştur.
Başka bir etkinlik kümesi, Rusya’nın Federal Güvenlik Hizmetleri Ajansı (FSB) tarafından Rus işletmelerinin temsilcilerini tekleştirmek için oluşturulan bir antivirüs aracı olarak maskelenen yeni bir Android kötü amaçlı yazılım içerir. Uygulamalar Security_FSB, фб (FSB için Rusça) ve GuardCB gibi isimler taşıyor, bunların sonuncusu Rusya Federasyonu Merkez Bankası olarak geçme girişimi.
İlk olarak Ocak 2025’te keşfedilen kötü amaçlı yazılım, Messenger ve tarayıcı uygulamalarından verileri, telefonun kamerasından akış ve SMS mesajlarına, konum, ses, kameraya erişmek için kapsamlı izinler arayarak tuş vuruşlarını ortaya çıkarır. Ayrıca arka planda, cihaz yöneticisi hakları ve erişilebilirlik hizmetlerinde çalışmayı talep eder.
Doctor Web, “Uygulamanın arayüzü yalnızca bir dil sağlıyor – Rus.” Dedi. “Bu nedenle, kötü amaçlı yazılım tamamen Rus kullanıcılarına odaklanıyor. Backdoor, tehdit aktörlerinden karşılık gelen komutu alması durumunda kendisini silinmekten korumak için erişilebilirlik hizmetleri kullanıyor.”