Noisy Bear атакует энергетический сектор Казахстана

Казахстанский энергетический сектор оказался мишенью новой кибершпионской кампании под кодовым названием Operation BarrelFire, за которой стоит группа Noisy Bear. По данным исследователей Seqrite Labs, активность этой группы прослеживается с апреля 2025 года и отличается продуманным использованием социальной инженерии и многоступенчатой цепочкой заражения.

Основная цель атаки — сотрудники компании КазМунайГаз (KazMunaiGas, KMG). Жертвам рассылались фишинговые письма с вложенным ZIP-архивом, замаскированным под внутреннюю документацию IT-департамента KMG. Темы сообщений выглядели максимально достоверно: обновления корпоративных политик, внутренние аттестации и даже корректировки зарплат. Дополнительную убедительность придавало то, что письма отправлялись с скомпрометированного почтового ящика сотрудника финансового отдела KMG.

Внутри архива находились несколько файлов:

• LNK-файл-загрузчик, запускающий вредоносный код;

• документ-приманка, якобы связанный с KazMunaiGas;

• README.txt с инструкциями на русском и казахском языках о запуске программы KazMunayGaz_Viewer.

LNK-файл инициировал загрузку дополнительных компонентов, включая вредоносный batch-скрипт, который подготавливал почву для запуска PowerShell-загрузчика DOWNSHELL. На финальном этапе атакующие устанавливали DLL-имплант — 64-битный модуль, способный выполнять shellcode и открывать обратное соединение с сервером злоумышленников для удалённого управления системой.

Анализ инфраструктуры показал, что она хостится у российского провайдера Aeza Group, известного как поставщик bulletproof hosting. В июле 2025 года компания попала под санкции США за содействие распространению вредоносных кампаний.

Контекст усиливает масштаб угрозы: параллельно с BarrelFire фиксируются другие региональные кампании. Так, французская компания HarfangLab связала группу Ghostwriter (UNC1151), действующую в интересах Беларуси, с атаками против Украины и Польши. Там используются архивы ZIP и RAR с макросами Excel, которые запускают DLL для сбора данных и загрузки дополнительных вредоносных модулей. В отдельных случаях DLL применялась для установки Cobalt Strike Beacon, инструмента постэксплуатации.

Ситуация осложняется тем, что и Россия сама стала мишенью множества атак. Группа OldGremlin проводит кампании вымогательства против отечественных промышленных предприятий, используя технику BYOVD (Bring Your Own Vulnerable Driver) для отключения антивирусов и интерпретатор Node.js для выполнения вредоносных скриптов. Дополнительно фиксируются атаки с применением Phantom Stealer и его модификации Warp Stealer, распространяемых через фишинговые письма с «взрослой» тематикой. У этого семейства есть даже модуль PornDetector, который делает снимки с веб-камеры пользователей для последующего шантажа.

На мобильном фронте специалисты Doctor Web выявили новое Android-вредоносное ПО, выдающее себя за официальное приложение ФСБ или Центробанка РФ. Оно получает широкие права доступа, включая управление SMS, геолокацией, камерой и клавиатурным вводом, что позволяет атакующим вести полноценное слежение за жертвами.

Эксперты подчеркивают, что BarrelFire — яркий пример того, как локально ориентированные кампании используют доверие к корпоративным каналам связи и социальную инженерию для проникновения в критически важные отрасли. В случае Казахстана речь идёт об энергетике, где любая компрометация может иметь не только экономические, но и геополитические последствия.

Организациям рекомендуется усилить контроль над почтовым трафиком, проверять вложения в архивах, блокировать подозрительные LNK-файлы, а также обучать сотрудников распознаванию попыток социальной инженерии. В условиях, когда новые группы вроде Noisy Bear выходят на сцену, именно человеческий фактор часто становится самым слабым звеном в цепочке киберзащиты.

Берегите себя и свои нервы.