Noisybear olarak bilinen sofistike bir tehdit oyuncusu, Kazakistan’ın enerji sektörü için önemli bir endişe olarak ortaya çıktı ve silahlı fermuarlı dosyalar ve güç tabanlı saldırı zincirleri aracılığıyla kritik altyapıya sızmak için ileri taktikler kullandı.
Bu yeni tanımlanan grup, maaş programları ve politika güncellemeleri hakkında meşru iç iletişimleri taklit eden yüksek hazırlanmış kimlik avı e -postalarını kullanarak ülkenin ulusal petrol ve gaz şirketi Kazmunaigas’a (KMG) karşı hedeflenen kampanyalar düzenliyor.
Saldırı metodolojisi, sosyal mühendislikte dikkate değer bir hassasiyet göstermektedir ve tehdit aktörleri, kötü niyetli iletişimlerine özgünlük sağlamak için Kazmunaigas’taki meşru iş e -posta hesaplarından ödün veriyor.
Bu e-postalar, acil İK ile ilgili belgeler olarak gizlenmiş zip ekleri içerir ve çalışan etkileşimini teşvik eden yanlış bir meşruiyet duygusu yaratır.
Kampanyanın karmaşıklığı, enfeksiyon süreci boyunca gizli korumak için güvenilir sistem ikili dosyalarından ve PowerShell yürütme ortamlarından yararlanan çok aşamalı yük dağıtım sistemlerini dahil ederek basit kimlik avlanmasının ötesine uzanıyor.
Seqrite araştırmacıları, bu tehdit grubunun faaliyetlerini Nisan 2025’te başlayarak, Mayıs 2025 boyunca aktif kampanyalar yoğunlaşarak belirlediler.
Araştırmacılar, Noisybear’ın operasyonel kalıplarının, Rus dilinin kötü niyetli kodlar, yaptırımlı barındırma hizmetlerinin kullanılması ve Orta Asya enerji kaynaklarındaki jeopolitik çıkarlarla tutarlı kalıpları hedefleyen Rus kökenlerini gösterdiğini belirtti.
.webp)
Grubun altyapı analizi, yaptırımlı bir barındırma sağlayıcısı olan Aeza Group LLC ile bağlantıları ortaya koyuyor ve bu da ilişkilendirmeyi ve yayından kaldırma çabalarını karmaşıklaştıran yargı alanlarında faaliyet gösterme girişimlerini gösteriyor.
Kötü amaçlı yazılımların etkisi, basit veri hırsızlığının ötesine uzanır, ileri süren kalıcılık mekanizmaları ve uzun ağ erişimine izin veren savunma kaçakçılığı tekniklerini içerir.
Mağdurlar, Kazakistan’ın enerji altyapısı için kritik olan hassas kurumsal iletişim, stratejik planlama belgeleri ve operasyonel verilerin potansiyel olarak maruz kalmasıyla karşı karşıyadır.
Kampanyanın enerji sektörü varlıklarına odaklanması, kritik ulusal altyapı ve ekonomik istikrarın potansiyel aksaması konusunda endişeleri gündeme getirmektedir.
Enfeksiyon mekanizması ve teknik analiz
Noisybear enfeksiyon zinciri, üç kritik bileşen içeren kötü amaçlı fermuar dosyaları ile başlar: resmi Kazmunaigas logosunu taşıyan bir tuzak belgesi, bir okuma talimatları sağlayan bir README.txt dosyası ve зарплат.lnk ”(maaş programı.
Kötü niyetli kısayol dosyası, sofistike indirme işlemlerini yürütmek için PowerShell’i arazi ikili (lolbin) içinde yaşayan bir şekilde kullanır.
Yürütme üzerine LNK dosyası, uzak sunucudan “77.239.125.41:8443” den “123.bat” adlı kötü amaçlı bir parti komut dosyasını alan bir PowerShell komutu başlatır.
İndirilen komut dosyası, erişilebilirliği ve azaltılmış güvenlik incelemesi için seçilen bir konum olan C: \ Users \ public dizinine stratejik olarak yerleştirilir.
Toplu komut dosyası, araştırmacılar tarafından “Dobot” olarak adlandırılan PowerShell komut dosyalarını indirerek ikincil bir yükleyici olarak hizmet eder.
Bu yükleyiciler, sistem.managemation.automation.amsiutils sınıfını manipüle etmek için yansıma kullanarak gelişmiş mal yazılım önleyici tarama arayüzü (AMSI) bypass tekniklerini gösterir.
Kötü amaçlı yazılım, PowerShell’i AMSI başlatmanın başarısız olduğuna ikna etmek için “Amsiinitifailed” bayrağını ayarlar ve sonraki kötü amaçlı işlemler için gerçek zamanlı tarama özelliklerini etkili bir şekilde devre dışı bırakır.
Son yük, klasik createmotetread enjeksiyon yöntemlerini kullanarak explorer.exe’yi hedefleyen enjeksiyon tekniklerini içerir.
Kötü amaçlı yazılım, OpenProcess, VirtualLocex, WriteProcessMemory ve CreaterEmotethread API çağrıları kullanır ve Meterpreter ters kabuk özelliklerini enjekte ederek, veri açığa çıkması ve uzaktan komut yürütme için kalıcı arka kapı erişimi oluşturur.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.