08.09.2025
1 хв
592
Нове угруповання Noisy Bear, імовірно пов’язане з Росією, запустило фішингову кампанію Operation BarrelFire проти співробітників енергетичної компанії «КазМунайГаз» у Казахстані.
За даними Seqrite Labs, кампанія стартувала у квітні 2025 року та була спрямована на працівників «КазМунайГаз» у фінансовому та IT-департаментах. Зловмисники розсилали фішингові листи з ZIP-архівами, які містили LNK-файл-завантажувач, підроблений документ від імені IT-відділу та інструкції російською й казахською мовами.
Після запуску файли розгортали шкідливий скрипт, що завантажував PowerShell-завантажувач DOWNSHELL, а згодом DLL-імплант із функціями зворотного шелу. Дослідники з’ясували, що інфраструктура кампанії хостилася на серверах Aeza Group у Росії, відомого провайдера bulletproof-хостингу, нещодавно санкціонованого США.
Ці атаки відбуваються на тлі ширшої хвилі шпигунських і кримінальних операцій у регіоні. Зокрема, угруповання Ghostwriter (UNC1151), пов’язане з Білоруссю, із квітня 2025 року атакувало Україну та Польщу за допомогою шкідливих архівів ZIP і RAR. У Польщі хакери навіть використовували Slack як канал ексфільтрації даних.
Паралельно в Росії активізувалися групи OldGremlin, Cloud Atlas, PhantomCore та Scaly Wolf, які проводили фішингові кампанії та поширювали шкідливі інструменти Phantom Stealer, VBShower та інші. Крім того, було виявлено новий Android-троян, що маскувався під антивірус ФСБ і збирав дані бізнес-користувачів.
Атаки Noisy Bear демонструють, що енергетичний сектор Центральної Азії стає дедалі привабливішою ціллю для державних і напівдержавних угруповань. Фішингові кампанії, поєднані з використанням потужних інструментів, вказують на довгострокову стратегію дестабілізації регіону та збору розвідданих.
