Seqrite實驗室APT研究團隊近日發(fā)布了一份深度分析報告，披露了一個自2025年4月起活躍的新型威脅組織"嘈雜熊"(Noisy Bear)。該組織主要針對哈薩克斯坦石油天然氣行業(yè)，攻擊手法結(jié)合了魚叉式釣魚、PowerShell加載器和DLL植入技術(shù)，并精心制作了偽裝成哈薩克斯坦國家石油天然氣公司(KazMunaiGas，簡稱KMG)內(nèi)部通訊的誘餌文檔。

感染鏈圖示 | 圖片來源：Seqrite實驗室APT研究團隊

攻擊手法分析

Seqrite報告指出："該威脅組織主要針對中亞地區(qū)的實體機構(gòu)，特別是哈薩克斯坦的石油天然氣或能源部門。攻擊活動針對KMG員工，通過發(fā)送偽造的KMG IT部門文件來模仿官方內(nèi)部通訊，主題涉及政策更新、內(nèi)部認(rèn)證程序和薪資調(diào)整等內(nèi)容。"

"嘈雜熊"組織利用被入侵的KMG企業(yè)郵箱發(fā)送魚叉式釣魚郵件。郵件主題通常設(shè)置為"緊急！請查閱更新后的薪資表"等具有緊迫性的內(nèi)容，并附有包含惡意快捷方式文件(График зарплат.lnk)的ZIP壓縮包(График.zip)。

攻擊流程詳解

郵件內(nèi)容精心設(shè)計成人力資源部門的內(nèi)部通知格式，特別強調(diào)截止日期為2025年5月15日以制造緊迫感。Seqrite指出："郵件主要內(nèi)容是關(guān)于工作安排、薪資和激勵政策相關(guān)信息的更新，要求收件人進行查閱。"

當(dāng)受害者打開ZIP文件后，會看到一個帶有KMG標(biāo)志的雙語(俄語和哈薩克語)誘餌PDF文件。文件中指示受害者解壓另一個ZIP文件(KazMunayGaz_Viewer.zip)并運行其中的可執(zhí)行程序，同時忽略彈出的控制臺窗口。

報告解釋道："誘餌文檔還特別提醒用戶等待控制臺窗口出現(xiàn)，并明確建議不要關(guān)閉或與之交互，以此降低目標(biāo)的懷疑。"

四階段攻擊技術(shù)鏈

Seqrite的技術(shù)分析將整個攻擊過程分解為四個階段：

• 初始階段 - 惡意快捷方式：惡意快捷方式文件利用PowerShell的LOLBins功能從hxxps://77.239.125.41:8443下載批處理腳本(123.bat)。
• 第一階段 - 批處理腳本：123.bat和it.bat等腳本下載PowerShell加載器(support.ps1, a.ps1)，這些加載器被命名為DOWNSHELL。
• 第二階段 - DOWNSHELL加載器：這些PowerShell腳本會禁用AMSI掃描功能，并使用從PowerSploit復(fù)制的技術(shù)將Meterpreter shellcode注入explorer.exe進程。Seqrite解釋稱："通過修改這個標(biāo)志位，可以讓PowerShell認(rèn)為AMSI初始化失敗，從而使DOWNSHELL家族的其他惡意腳本能夠繞過掃描并順利執(zhí)行。"
• 最終階段 - DLL植入：一個64位DLL使用信號量防止多實例運行，然后劫持rundll32.exe的線程上下文來執(zhí)行反向shell。

基礎(chǔ)設(shè)施與歸屬分析

"嘈雜熊"組織的攻擊載荷和工具(包括Metasploit和PowerSploit等開源滲透框架)托管在俄羅斯主機提供商Aeza Group LLC的基礎(chǔ)設(shè)施上，該公司因協(xié)助網(wǎng)絡(luò)犯罪而受到制裁。

Seqrite還發(fā)現(xiàn)了一些可疑域名，這些域名托管著面向俄羅斯用戶的健康和健身主題網(wǎng)站，很可能被用作基礎(chǔ)設(shè)施的偽裝。

雖然Seqrite在歸屬問題上持謹(jǐn)慎態(tài)度，但報告指出了與俄羅斯運營者的強烈關(guān)聯(lián)：

• 腳本中包含俄語注釋
• 使用受制裁的俄羅斯主機提供商
• 工具和基礎(chǔ)設(shè)施與之前俄羅斯相關(guān)的APT活動存在重疊

正如報告所述："我們認(rèn)為該威脅組織很可能源自俄羅斯。""嘈雜熊"代表了一場針對哈薩克斯坦關(guān)鍵能源基礎(chǔ)設(shè)施的有針對性的APT活動，結(jié)合了社會工程學(xué)、開源攻擊工具和多層感染鏈。