Selon Seqrite Labs, une nouvelle menace baptisée « Noisy Bear » mène des attaques ciblées contre des employés de KazMunaiGas au Kazakhstan, en s’appuyant sur des leurres RH (planning de salaires) pour livrer une chaîne d’infection multi‑étapes et obtenir un accès persistant.
• Nature de l’attaque: spear‑phishing avec faux emails RH contenant des archives ZIP et des fichiers LNK agissant comme téléchargeurs. • Charge utile et persistance: déploiement d’un implant DLL 64‑bit assurant un accès persistant et une cohabitation singleton (sémaphores), avec injections de code dans des processus système. • Impact visé: prise de contrôle à distance via reverse shell, maintien furtif et persistance sur les postes ciblés du secteur de l’énergie. • Infrastructures et attribution: utilisation d’une infrastructure hébergée chez Aeza Group LLC (hébergeur sanctionné) et d’outils open source de red team, éléments suggérant une possible attribution russe.
TTPs clés observés (extraits) 🧪
- Leurre: courriels RH sur des « plannings de salaires » → ZIP contenant LNK.
- Téléchargement: les LNK récupèrent des scripts batch depuis une adresse externe.
- Loader: scripts batch → PowerShell loader (DOWNSHELL).
- Evasion: contournement d’AMSI via techniques de réflexion.
- Injection: CreateRemoteThread pour injecter dans explorer.exe; hijacking du contexte de thread pour injecter un reverse shell dans rundll32.exe.
- Implant: DLL 64‑bit, sémaphores pour comportement singleton, accès persistant.
IOCs et éléments techniques 🧩
- Adresse IP/Port: 77.239.125.41:8443 (serveur de commande/téléchargement).
- Fichiers/pièces jointes: ZIP contenant LNK (téléchargeur).
- Loader: DOWNSHELL (PowerShell).
- Processus ciblés: explorer.exe, rundll32.exe.
- Hébergement: Aeza Group LLC (infrastructure de l’acteur).
Contexte et objectif 🎯 Cet article est une analyse de menace publiée par Seqrite Labs, visant à documenter une campagne ciblée, ses TTPs et ses indicateurs pour la communauté de défense.
🧠 TTPs et IOCs détectés
TTPs
Spear-phishing via faux emails RH avec des archives ZIP et des fichiers LNK, téléchargement de scripts batch via LNK, PowerShell loader (DOWNSHELL), contournement d’AMSI via techniques de réflexion, injection de code avec CreateRemoteThread dans explorer.exe, hijacking du contexte de thread pour injecter un reverse shell dans rundll32.exe, utilisation d’un implant DLL 64-bit avec sémaphores pour comportement singleton et accès persistant.
IOCs
Adresse IP: 77.239.125.41:8443, Fichiers/pièces jointes: ZIP contenant LNK, Hébergement: Aeza Group LLC.
🔗 Source originale : https://www.seqrite.com/blog/operation-barrelfire-noisybear-kazakhstan-oil-gas-sector/