Seqrite Labs tarafından Noisy Bear olarak izlenen yeni bir tehdit grubu, Kazakistan’ın enerji devi KazMunaiGas çalışanlarını hedef alan Operation BarrelFire kampanyasıyla Nisan 2025’ten beri aktifti. Kampanya, KMG BT departmanından geliyormuş gibi sahte belgelerle iç iletişim taklidi yaparak politika güncellemeleri ve maaş düzenlemeleri gibi konuları kullanıyordu.
Enfeksiyon Zinciri ve Teknik Detaylar
Saldırı, ZIP eki taşıyan kimlik avı e-postasıyla başlıyor; içinde Windows kısayolu (LNK) indiricisi, KazMunaiGas temalı sahte belge ve Rusça-Kazakça yazılmış “KazMunayGaz_Viewer” adlı programı çalıştırma talimatları yer alan README.txt dosyası bulunuyor. E-posta, KazMunaiGas finans departmanından ele geçirilmiş bir adresten gönderilmiş ve Mayıs 2025’te diğer çalışanlara yayılmış.
LNK dosyası, DOWNSHELL adlı PowerShell yükleyicisini çalıştıran kötü amaçlı bir toplu iş betiği içeriyor. Sonuçta, ters kabuk başlatabilen 64 bitlik DLL tabanlı implant dağıtılıyor. Altyapı analizi, tehdit aktörünün Rusya merkezli Aeza Group adlı zırhlı barındırma hizmetinde barındırıldığını ve bu altyapının ABD yaptırımları altında olduğunu gösterdi.
Benzer Kampanyalar ve Gelişmeler
HarfangLab, Belarus yanlısı Ghostwriter grubunun Nisan 2025’ten beri Ukrayna ve Polonya’yı hedef alan kampanyalarında sahte ZIP ve RAR arşivleriyle implant dağıttığını tespit etti. Bu arşivlerde DLL bırakan VBA makrolu XLS dosyaları bulunuyor ve DLL, ele geçirilen sistem bilgilerini toplayıp C2 sunucusundan sonraki aşama kötü amaçlı yazılımı indiriyor. Polonya saldırılarında ise Slack işaretleme ve veri sızdırma kanalı olarak kullanılıyor, ikinci aşama yük pesthacks[.]icu alanıyla iletişim kuruyor.
En az bir vakada, makrolu Excel dosyası Cobalt Strike Beacon yükleyerek daha fazla sömürü sağladı. HarfangLab, UAC-0057 tespitini aşmak için operasyonların gizlilikten çok sürekliliğe odaklandığını belirtti.
Rusya’ya Yönelik Siber Saldırılar ve Yeni Kötü Amaçlı Yazılımlar
2025’in ilk yarısında OldGremlin grubu, Rusya’daki sekiz büyük sanayi kuruluşunu kimlik avı kampanyalarıyla hedef aldı. Kaspersky’ye göre, saldırılar BYOVD tekniği ve meşru Node.js yorumlayıcısı kullanılarak güvenlik çözümleri devre dışı bırakıldı. Phantom Stealer adlı yeni bilgi hırsızı, yetişkin içerik ve ödeme temalı e-postalarla geniş hassas veri topluyor ve Warp Stealer varyantıyla örtüşüyor.
Phantom Stealer, Stealerium’un “PornDetector” modülünü kullanarak pornografik site ziyaretlerinde webcam ekran görüntüsü alıyor; bu da muhtemelen ‘sextortion’ amaçlı. Rus kuruluşları ayrıca Cloud Atlas, PhantomCore ve Scaly Wolf gruplarının hedefi oldu, VBShower, PhantomRAT ve PhantomRShell gibi kötü amaçlı yazılımlar kullanıldı.
Bir diğer faaliyet, Rusya Federal Güvenlik Servisi (FSB) tarafından geliştirildiği iddia edilen Android kötü amaçlı yazılımını içeriyor. SECURITY_FSB, ФСБ ve GuardCB isimli uygulamalar, Rusça arayüzle mesajlaşma ve tarayıcı verilerini sızdırıyor, kamera yayını yapıyor ve geniş izinlerle tuş vuruşlarını kaydediyor. Arka planda çalışarak kendini silinmekten koruyor.
Kazakistan Devletinden Açıklama
Kazakistan devletine ait KazMunayGas, Seqrite raporundaki iddiaları planlı bir kimlik avı testi olarak reddetti. Şirket, Mayıs 2025’te gerçekleştirdikleri kimlik avı eğitim testinin ekran görüntülerinin raporda kullanıldığını belirtti. Bu gelişme, yerel medya raporlarıyla desteklenerek haber başlığına yansıtıldı.