摘要：此次活动代号为“BarrelFire 行动”，与 Seqrite Labs 追踪的一个名为“Noisy Bear”的新威胁组织有关。该威胁组织至少自 2025 年 4 月起就一直活跃。

疑似来自俄罗斯的威胁组织被指控对哈萨克斯坦能源部门发动一系列攻击。

此次活动代号为“BarrelFire 行动”，与 Seqrite Labs 追踪的一个名为“Noisy Bear”的新威胁组织有关。该威胁组织至少自 2025 年 4 月起就一直活跃。

安全研究员 Subhajeet Singha 表示：“此次攻击活动针对的是 KazMunaiGas 或 KMG 的员工，威胁组织发送了一份与 KMG IT 部门相关的虚假文件，模仿官方内部通信，并利用政策更新、内部认证程序和薪酬调整等主题。 ”

感染链始于一封包含 ZIP 附件的网络钓鱼电子邮件，其中包含 Windows 快捷方式 (LNK) 下载程序、与 KazMunaiGas 相关的诱饵文档以及一个 README.txt 文件，其中包含用俄语和哈萨克语编写的运行名为“KazMunayGaz_Viewer”的程序指令。

据该网络安全公司称，这封电子邮件是从 KazMunaiGas 财务部门一名员工的受损电子邮件地址发送的，并于 2025 年 5 月针对该公司的其他员工发起攻击。

LNK 文件载荷旨在投放其他载荷，包括一个恶意批处理脚本，该脚本为名为 DOWNSHELL 的 PowerShell 加载程序铺平了道路。攻击最终以部署基于 DLL 的植入程序（一个 64 位二进制文件）告终，该植入程序可以运行 Shellcode 来启动反向 Shell。

对威胁组织基础设施的进一步分析表明，它托管在俄罗斯的防弹托管 (BPH) 服务提供商Aeza Group上，该集团因实施恶意活动于 2025 年 7 月受到美国的制裁。

技术报告：

来源：会杀毒的单反狗