Le groupe « Noisy Bear » cible KazMunaiGas via LNK malveillants et loaders PowerShell
Selon Seqrite Labs, une nouvelle menace baptisée « Noisy Bear » mène des attaques ciblées contre des employés de KazMunaiGas au Kazakhstan, en s’appuyant sur des leurres RH (planning de salaires) pour livrer une chaîne d’infection multi‑étapes et obtenir un accès persistant. • Nature de l’attaque: spear‑phishing avec faux emails RH contenant des archives ZIP et des fichiers LNK agissant comme téléchargeurs. • Charge utile et persistance: déploiement d’un implant DLL 64‑bit assurant un accès persistant et une cohabitation singleton (sémaphores), avec injections de code dans des processus système. • Impact visé: prise de contrôle à distance via reverse shell, maintien furtif et persistance sur les postes ciblés du secteur de l’énergie. • Infrastructures et attribution: utilisation d’une infrastructure hébergée chez Aeza Group LLC (hébergeur sanctionné) et d’outils open source de red team, éléments suggérant une possible attribution russe. ...