一个可能来自俄罗斯的威胁行为者被归因于一组针对哈萨克斯坦能源部门的新攻击。
该活动代号为 Operation BarrelFire,与 Seqrite Labs 跟踪的一个新威胁组织 Noisy Bear 有关。该威胁行为者至少自 2025 年 4 月以来一直活跃。
安全研究员 Subhajeet Singha 表示:“该活动针对的是 KazMunaiGas 或 KMG 的员工,威胁实体提供了与 KMG IT 部门相关的虚假文件,模仿官方内部沟通并利用政策更新、内部认证程序和薪资调整等主题。
感染链始于一封包含 ZIP 附件的网络钓鱼电子邮件,其中包括一个 Windows 快捷方式 (LNK) 下载器、一个与 KazMunaiGas 相关的诱饵文档,以及一个README.txt文件,其中包含用俄语和哈萨克语编写的运行名为“KazMunayGaz_Viewer”的程序的说明。
据这家网络安全公司称,这封电子邮件是从 KazMunaiGas 财务部门一名个人的受损电子邮件地址发送的,并于 2025 年 5 月针对该公司的其他员工。
LNK 文件有效负载旨在删除其他有效负载,包括一个恶意批处理脚本,该脚本为名为 DOWNSHELL 的 PowerShell 加载程序铺平了道路。攻击最终以部署基于 DLL 的植入物而告终,这是一个 64 位二进制文件,可以运行 shellcode 来启动反向 shell。
对威胁行为者基础设施的进一步分析显示,它托管在总部位于俄罗斯的防弹托管 (BPH) 服务提供商 Aeza Group 上,该集团因助长恶意活动而于 2025 年 7 月受到美国制裁。
自 2025 年 4 月以来,HarfangLab 将与白俄罗斯结盟的威胁行为者 Ghostwriter(又名 FrostyNeighbor 或 UNC1151)与针对乌克兰和波兰的活动联系起来,这些活动旨在收集有关受感染系统的信息并部署植入物以进行进一步利用。
“这些档案包含带有 VBA 宏的 XLS 电子表格,可以删除和加载 DLL,”这家法国网络安全公司表示。“后者负责收集有关受感染系统的信息,并从命令和控制 (C2) 服务器检索下一阶段的恶意软件。”
已发现该活动的后续迭代会编写 Microsoft Cabinet (CAB) 文件以及 LNK 快捷方式,以从存档中提取和运行 DLL。然后,DLL 继续进行初步侦察,然后从外部服务器删除下一阶段的恶意软件。
另一方面,针对波兰的攻击调整了攻击链,使用 Slack 作为信标机制和数据泄露通道,下载第二阶段有效负载作为回报,与域 pesthacks[.]重症监护室。
至少在一个实例中,通过宏包含的 Excel 电子表格删除的 DLL 用于加载 Cobalt Strike Beacon,以促进进一步的后利用活动。
HarfangLab 表示:“这些微小的变化表明 UAC-0057 可能正在探索替代方案,可能试图绕过检测,但优先考虑其作的连续性或发展,而不是隐蔽性和复杂性。
针对俄罗斯的网络攻击报告
这一发现是在 OldGremlin 在 2025 年上半年再次对俄罗斯公司进行勒索攻击之际发布的,该攻击使用网络钓鱼电子邮件活动针对多达 8 家国内大型工业企业。
根据卡巴斯基的说法,这些入侵涉及使用自带易受攻击的驱动程序 (BYOVD) 技术来禁用受害者计算机上的安全解决方案,以及使用合法的Node.js解释器来执行恶意脚本。
针对俄罗斯的网络钓鱼攻击还提供了一种名为 Phantom Stealer 的新信息窃取程序,它基于代号为 Stealerium 的开源窃取程序,使用与成人内容和支付相关的电子邮件诱饵收集广泛的敏感信息。它还与另一个名为 Warp Stealer 的 Stealerium 分支有重叠。
据 F6 称,Phantom Stealer 还继承了 Stealerium 的“PornDetector”模块,该模块通过密切关注活动浏览器窗口以及标题是否包含色情和性等可配置的术语列表来捕获用户访问色情网站时捕获网络摄像头屏幕截图等。
“这很可能后来被用于’性勒索’,”Proofpoint 在自己对恶意软件的分析中表示。“虽然此功能在网络犯罪恶意软件中并不新鲜,但并不经常被观察到。”
近几个月来,俄罗斯组织也受到了 Cloud Atlas、PhantomCore 和 Scaly Wolf 等黑客组织发动的攻击,这些组织使用 VBShower、PhantomRAT 和 PhantomRShell等恶意软件系列收集敏感信息并传递额外的有效负载。
另一个活动集群涉及一种新的 Android 恶意软件,该恶意软件伪装成俄罗斯联邦安全局 (FSB) 创建的防病毒工具,旨在挑出俄罗斯企业的代表。这些应用程序的名称包括 SECURITY_FSB、ФСБ(俄语为 FSB)和 GuardCB,其中最后一个是试图冒充俄罗斯联邦中央银行。
该恶意软件于 2025 年 1 月首次被发现,它从 Messenger 和浏览器应用程序中窃取数据,从手机摄像头进行流式传输,并通过寻求访问 SMS 消息、位置、音频、摄像头的广泛权限来记录击键。它还请求在后台运行、设备管理员权限和辅助功能服务。
“该应用程序的界面仅提供一种语言——俄语,”Doctor Web 说。“因此,该恶意软件完全针对俄罗斯用户。如果后门收到来自威胁行为者的相应命令,后门还使用可访问性服务来保护自己不被删除。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
