新型APT组织"嘈杂熊"针对哈萨克斯坦能源部门发起网络间谍活动

Seqrite实验室APT研究团队近日发布了一份深度分析报告 ，新型披露了一个自2025年4月起活跃的组织嘈杂熊针对新型威胁组织"嘈杂熊"(Noisy Bear)。该组织主要针对哈萨克斯坦石油天然气行业，哈萨攻击手法结合了鱼叉式钓鱼、源部PowerShell加载器和DLL植入技术，起网并精心制作了伪装成哈萨克斯坦国家石油天然气公司(KazMunaiGas，络间简称KMG)内部通讯的谍活动诱饵文档。

感染链图示 | 图片来源：Seqrite实验室APT研究团队

Seqrite报告指出："该威胁组织主要针对中亚地区的新型实体机构，特别是组织嘈杂熊针对哈萨克斯坦的石油天然气或能源部门。云计算攻击活动针对KMG员工，哈萨通过发送伪造的源部KMG IT部门文件来模仿官方内部通讯，主题涉及政策更新
、起网内部认证程序和薪资调整等内容。络间"

"嘈杂熊"组织利用被入侵的谍活动KMG企业邮箱发送鱼叉式钓鱼邮件。邮件主题通常设置为"紧急！新型请查阅更新后的薪资表"等具有紧迫性的内容，并附有包含恶意快捷方式文件(График зарплат.lnk)的ZIP压缩包(График.zip)
。亿华云

邮件内容精心设计成人力资源部门的内部通知格式 ，特别强调截止日期为2025年5月15日以制造紧迫感  。Seqrite指出："邮件主要内容是关于工作安排、薪资和激励政策相关信息的更新，要求收件人进行查阅
。"

当受害者打开ZIP文件后，会看到一个带有KMG标志的双语(俄语和哈萨克语)诱饵PDF文件 。文件中指示受害者解压另一个ZIP文件(KazMunayGaz_Viewer.zip)并运行其中的可执行程序 ，香港云服务器同时忽略弹出的控制台窗口。

报告解释道："诱饵文档还特别提醒用户等待控制台窗口出现，并明确建议不要关闭或与之交互，以此降低目标的怀疑。"

Seqrite的技术分析将整个攻击过程分解为四个阶段
：

"嘈杂熊"组织的攻击载荷和工具(包括Metasploit和PowerSploit等开源渗透框架)托管在俄罗斯主机提供商Aeza Group LLC的基础设施上，该公司因协助网络犯罪而受到制裁 。

Seqrite还发现了一些可疑域名，源码下载这些域名托管着面向俄罗斯用户的健康和健身主题网站 ，很可能被用作基础设施的伪装 。

虽然Seqrite在归属问题上持谨慎态度
，但报告指出了与俄罗斯运营者的强烈关联：

正如报告所述
 ："我们认为该威胁组织很可能源自俄罗斯。""嘈杂熊"代表了一场针对哈萨克斯坦关键能源基础设施的有针对性的APT活动，结合了社会工程学、免费模板开源攻击工具和多层感染链。

最新评论