NoisyBear 将 ZIP 文件武器化到 PowerShell 加载程序并泄露敏感数据

一种名为 NoisyBear 的复杂威胁行为者已成为哈萨克斯坦能源部门的一个重大问题，它采用先进的策略通过武器化的 ZIP 文件和基于 PowerShell 的攻击链渗透关键基础设施。

这个新发现的组织一直在策划针对该国国家石油和天然气公司 KazMunaiGas （KMG） 的有针对性的活动，使用精心设计的网络钓鱼电子邮件，模仿有关工资表和政策更新的合法内部通信。

该攻击方法在社会工程方面表现出了非凡的精确性，威胁行为者破坏了 KazMunaiGas 中的合法商业电子邮件帐户，以增强其恶意通信的真实性。

这些电子邮件包含伪装成紧急人力资源相关文件的 ZIP 附件，造成一种鼓励员工互动的虚假合法性。

该活动的复杂性超出了简单的网络钓鱼，还结合了多阶段有效负载交付系统，利用受信任的系统二进制文件和 PowerShell 执行环境在整个感染过程中保持隐蔽性。

Seqrite 研究人员从 2025 年 4 月开始确定该威胁组织的活动，并在 2025 年 5 月期间加强了积极的活动。

研究人员指出，NoisyBear 的运营模式表明起源于俄罗斯，恶意代码中的俄语评论、使用受制裁的托管服务以及针对与中亚能源资源的地缘政治利益一致的模式就证明了这一点。

该组织的基础设施分析揭示了与受制裁的托管服务提供商 Aeza Group LLC 的联系，表明故意试图在司法管辖区内运营，使归因和删除工作变得复杂。

该恶意软件的影响不仅限于简单的数据盗窃，还结合了先进的持久性机制和防御规避技术，允许长时间的网络访问。

受害者可能面临对哈萨克斯坦能源基础设施至关重要的敏感企业通信、战略规划文件和运营数据的暴露。

该活动对能源部门实体的关注引发了人们对关键国家基础设施和经济稳定可能受到破坏的担忧。

感染机制与技术分析

NoisyBear 感染链从包含三个关键组件的恶意 ZIP 文件开始：带有 KazMunaiGas 官方徽标的诱饵文档、提供执行指令的README.txt文件以及名为“График зарплат.lnk”（工资Schedule.lnk）的武器化 LNK 文件。

恶意快捷方式文件使用 PowerShell 作为 Living Off The Land Binary （LOLBIN） 来执行复杂的下载作。

执行后，LNK 文件会启动一个 PowerShell 命令，该命令从远程服务器“77.239.125.41：8443”检索名为“123.bat”的恶意批处理脚本。

下载的脚本被战略性地放置在 C：\Users\Public 目录中，选择该位置是为了其可访问性和减少安全审查。

批处理脚本充当辅助加载程序，下载被研究人员称为“DOWNSHELL”的 PowerShell 脚本。

这些加载程序演示了高级反恶意软件扫描接口 （AMSI） 绕过技术，使用反射来作 System.Management.Automation.AmsiUtils 类。

该恶意软件设置“amsiInitiFailed”标志，让 PowerShell 相信 AMSI 初始化失败，从而有效地禁用后续恶意作的实时扫描功能。

最终有效负载涉及针对explorer.exe的进程注入技术，利用经典的 CreateRemoteThread 注入方法。

该恶意软件采用 OpenProcess、VirtualAllocEx、WriteProcessMemory 和 CreateRemoteThread API 调用来注入 Meterpreter 反向 shell 功能，为数据泄露和远程命令执行建立持久的后门访问。