Нефтяная империя Казахстана KazMunaiGas пала жертвой кибершпионажа NoisyBear

NoisyBear Seqrite Labs KazMunaiGas Казахстан энергетика нефть
Нефтяная империя Казахстана KazMunaiGas пала жертвой кибершпионажа NoisyBear
NoisyBear Seqrite Labs KazMunaiGas Казахстан энергетика нефть

Не верь зарплатным таблицам — они ведут к DOWNSHELL.

image

Группа Seqrite Labs APT-Team обнаружила новую кампанию, нацеленную на энергетический сектор Казахстана. Исследователи отслеживают её с апреля 2025 года и приписывают неизвестной ранее группе, получившей название NoisyBear. Основной жертвой стала национальная компания KazMunaiGas: злоумышленники рассылали сотрудникам письма с подменённым корпоративным адресом, прикрываясь темами о кадровых изменениях и зарплатах. Файлы выглядели как внутренние документы, якобы подготовленные ИТ-отделом. Для усиления доверия письма были написаны на русском и казахском языках, снабжены логотипом KMG и ссылались на «срочную проверку данных до 15 мая 2025 года».

Первым этапом заражения становилось открытие ZIP-архива «График.zip», содержавшего три объекта: текстовый файл с инструкциями, поддельный документ и ярлык «График зарплат.lnk». Последний выполнял PowerShell -команду для загрузки с удалённого сервера batch-скрипта. Адрес загрузки вел на IP 77.239.125.41:8443, а файл сохранялся в общедоступной папке Windows и запускался автоматически. Анализ выявил несколько вариантов ярлыков, использовавших разные приёмы обхода статического детектирования, но все они вели к одному серверу.

Следующий этап — выполнение batch-скриптов (например, 123.bat и it.bat). Они загружали PowerShell-модули, получившие название DOWNSHELL. Один из таких скриптов отключал встроенные средства защиты Windows, обходя AMSI путём изменения внутренних параметров .NET. Другой осуществлял загрузку и выполнение шелл-кода в процессе explorer.exe. Для этого применялись функции из набора PowerSploit, позволяющие через прямой доступ к WinAPI внедрять вредоносный код в память без использования стандартных вызовов. В сценариях использовалось обратное соединение Meterpreter, реализованное через классическую технику CreateRemoteThread Injection. Некоторые части кода указывали и на подготовку Reflective DLL Injection с применением загружаемых библиотек, также основанных на PowerSploit.

Последняя стадия заключалась в работе DLL-импланта. Это 64-битный загрузчик, который контролировал количество активных копий через семафоры и именованные объекты. Для маскировки имплант запускал новый процесс rundll32.exe в приостановленном состоянии, в который внедрял шелл-код с помощью изменения контекста потока. После возобновления выполнения процесс подключался к C2-серверу, предоставляя атакующим доступ к системе.

Инфраструктура NoisyBear также заслуживает внимания. Часть серверов размещалась у провайдера Aeza Group LLC, находящегося под санкциями. Кроме вредоносных инструментов, там же хранились открытые Red Team-решения вроде PowerSploit и Metasploit , а также маскирующие сайты, посвящённые фитнесу и медицинским сервисам для российских пользователей.

Операция BarrelFire, приписываемая NoisyBear, демонстрирует полный цикл целевой атаки : от компрометации почтовых ящиков и рассылки фишинговых писем до сложных техник внедрения кода и обхода встроенной защиты. Главным объектом атаки стала национальная нефтегазовая компания Казахстана, что подчёркивает стратегическую направленность кампании и её возможное политическое или экономическое измерение.