Noisybear olarak bilinen tehdit oyuncusu, Kazakistan’ın enerji sektörünü, özellikle devlet petrol ve gaz majör Kazmunaigas işçileri için iç yazışmaları taklit eden özel olarak tasarlanmış kimlik avı Operasyonu adlı sofistike bir siber-ihale çabası başlattı.
Seqrite Labs’taki güvenlik araştırmacıları ilk olarak kampanyayı Nisan 2025’te gözlemlediler ve Mayıs ayına kadar hızlı yükselişini kaydetti.
Mızrak-aktı lure İK bildirimlerini taklit eder
Noisybear’ın ilk saldırı vektörü Kazmunaigas’ta tehlikeye atılmış bir finans departmanı e -postasına dayanıyordu.
15 Mayıs 2025’te, çalışanlar acil konu satırı “Acil! Güncellenmiş maaş programını gözden geçirin” ile mesaj aldılar.
%20(1).webp)
E -posta gövdesi, hem Rusça hem de Kazakh’ta alıcılara граф.zip (“school.zip”) adlı bir fermuarlı dosyayı indirme ve çıkarmaları ve daha sonra bir kısayol dosyası (“maaş programı.lnk”) açmaları talimatını verdi.
Mesaj, bir uyumluluk son teslim tarihi uygulayarak aciliyet yarattı ve hatta BT destek ekibine meşruiyeti artırmak için başvurdu.
Kaputun altında, Zip Arşivi üç öğe içeriyordu: Kazmunaigas logosunu taşıyan bir tuzak belgesi, kullanıcı talimatları olan bir ReadMe.txt ve kötü niyetli .Lnk kısayol.
Kısayol yürütüldükten sonra, 77.239.125.41:8443 numaralı telefondan bir uzak sunucudan bir toplu komut dosyası indirmek için Windows’un kendi PowerShell ikili kullandı ve “C: \ Users \ public” klasörüne yerleştirdi.
Çok aşamalı enfeksiyon zinciri açıklandı
Araştırmacılar enfeksiyon zincirini dört farklı aşamada parçaladı:
1. Toplu komut dosyası dağıtım
İlk parti indiricisi (123.bat ve it.bat), saldırganın altyapısından iki PowerShell yükleyici komut dosyası – support.ps1 ve a.ps1 – getirdi.
Her komut dosyası, Sandbox ortamlarından kaçmak için yürütülmeden önce kasıtlı bir duraklama (10-11 saniye) içeriyordu.
2. AMSI BYPASS ve LOULER YAPILI
Destek.ps1 komut dosyası, Windows’un mal yazılım karşıtı tarama arayüzünü (AMSI) devre dışı bırakmak için .NET yansımasını kullandı. amsiInitFailed sonraki yüklerin kontrol edilmemesine izin veren bayrak.
İkinci komut dosyası, bellek içi kod yürütülmesi için dinamik olarak çözülmüş yerel Windows API işlevleri, daha sonra MeterPreter Ters-Kabuk Kodunu enjekte etti. explorer.exe CreateMotethread kullanarak işlem.
3. DLL implant ve iplik kaçırma
Son yük, adlandırılmış semaforlar ve olaylar aracılığıyla tek bir yük mekanizması uygulayan 64 bit DLL implantı idi.
Askıya alındı rundll32.exe işlem, iş parçacığı bağlamını kaçırdı, RWX belleği tahsis etti ve yürütmeye devam etmeden önce bir ters kabuk yükü enjekte etti.
.webp)
4. Komut ve kontrol ve kalıcılık
Ters kabuk kurulduktan sonra, Noisybear’ın operatörleri hassas verileri-özellikle çalışan kimlik bilgileri ve dahili belgeler-ekspiltratlayabilir ve potansiyel olarak şirket ağlarına uzun vadeli erişimi sürdürebilir.
Seqrite’ın tehdit avcıları, Noisybear’ın altyapısının yaptırımlı Rus barındırma sağlayıcısı Aeza Group LLC altındaki sunucularda barındırıldığını ortaya çıkardı.
Daha fazla keşif, muhtemelen alternatif komut ve kontrol merkezleri olarak hizmet veren sağlık ve fitness alanları gibi maskelenen ek kötü amaçlı web uygulamaları ortaya koydu.
Araç ve tekniklerin analizi-PowerShell’in geniş kullanımı, yansıtıcı DLL enjeksiyonu, iplik-bağlam kaçırma, dinamik API çözünürlüğü ve senaryolardaki Rusça yorumlar-bilinen Rusça konuşan siber-durum gruplarıyla noisybear’ı gösteriyor.
Uzaktan barındırma alanlarını yeniden kullanma ve paylaşılan Shellcode stagers gibi operasyonel hatalar ilişkilendirmeyi güçlendirdi.
Savunma önerileri ve teknik göstergeler
Benzer saldırılara karşı korunmak için güvenlik ekipleri şunlar olmalıdır:
- Özellikle yürütülebilir ürünler veya kısayollar içeren arşiv dosyaları için katı e -posta filtreleme ve ek sanal alanını uygulayın.
- AMSI günlüğünü etkinleştirin ve bilinen lolbin (karada ikili olarak yaşamak) tekniklerini engelleyin.
- Anormal PowerShell süreçlerini çağıran izleme
System.Management.Automation.AmsiUtilsveya yansıtıcı kod yükleme modelleri. - Yetkisiz DLL enjeksiyonuna bağlı adlandırılmış semaforlar ve olaylar için düzenli tehdit avı yapın.
Seqrite Labs ayrıca Zip, LNK, Batch, PowerShell ve DLL aşamaları için dosya karmaları ve Noisybear’ın C2 alanları ve IP’leri dahil olmak üzere kapsamlı uzlaşma göstergeleri (IOCS) yayınladı:
Orta Asya’nın enerji sektörü giderek mikroskop altında, kuruluşlar uyanık kalmalı ve Barrelfire Operasyonu gibi son derece özelleştirilmiş, çok aşamalı saldırı çabalarına karşı katmanlı savunmaları benimsemelidir.
Uzlaşma Göstergeleri (IOCS):
Dosya tabanlı
| Dosya Tipi | Sha-256 |
|---|---|
| Görünüm | 5168a1e22e969db7cea0d3e9eb64db4a0c648e43da8bacf4c7126f58f0386 |
| Zip | 021B3D53FE113D014A970048E31A6FB5E16CB02227DE5309F6F93AFFA4515A6 |
| Zip | F5E7DC5149C453B98D05B73CAD7AC1C42B381F72B6F7203546C789F4E750B26 |
| Lnk | A40E7B0CB176D2278C4AB02C4657F9034573AC83CEE4CDE38096028F243119C |
| Lnk | 26F009351F4C645AD4DF3C1708F74AE2E5F8F22F3B0BBB4568347A2A72651BEE |
| Toplu komut dosyası | D48aeb6AFCCCC5A3834B3E4CA9E0672B61F9D945DD41046C9AAF782382A6644F97 |
| Toplu komut dosyası | 1eecfc1c607be3891e955846c7da70b010db9fdff01de45916d3727bfff96e0 |
| Powershell | DA98B0CBCD784879BA38503946898D747ADE08AD4D3D0FB966703E078BB |
| Powershell | 6d6006b2baaa75712bfe867bff5e4f0928a7d860a4623a417638993b9dfb4b |
| Powershell | Fb0f7c35a58a02473f26aabea4f682e2e483db84b606db2eca36aa6c7d9cf8 |
| Dll | 1BFE65ACB9E5509F80EFCFE04B23DAF31381E8B95A98112B81C9A080BDD65A2D |
Ağ tabanlı
| Alanlar / IPS |
|---|
| 77[.]239[.]125[.]41 |
| WellFitplan[.]ru |
| 178[.]159[.]94[.]8 |
MITER & CK Eşleme
| Taktik | Teknik Kimliği | İsim |
|---|---|---|
| Keşif | T1589.002 | Mağdur Kimlik Bilgileri Toplayın: E -posta Adresleri |
| İlk Erişim | T1204.002 | Kullanıcı yürütme: kötü amaçlı dosya |
| T1078.002 | Geçerli Hesaplar: Etki Alanı Hesapları | |
| Uygulamak | T1059.001 | Komut ve Komut Dosyası Tercümanı: PowerShell |
| T1059.00 | Komut ve komut dosyası tercümanı | |
| Savunma | T1562 | Savunmaları değerlendirmek |
| T1027.007 | Şifrelenmiş/kodlanmış dosya | |
| T1027.013 | Dinamik API çözünürlüğü | |
| T1055.003 | İplik yürütme kaçırma | |
| T1620 | Yansıtıcı Kod Yükleme | |
| T1218.011 | Sistem İkili Proxy Yürütme: Rundll32 | |
| Komuta ve Kontrol | T1105 | Giriş Aracı Transferi |
| Püskürtme | T1567.002 | Bulut depolamasına pessiltrasyon |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.