ロシア系とみられる脅威アクターが、カザフスタンのエネルギー業界を標的とした新たな攻撃を行っていることが判明しました。
この活動は「Operation BarrelFire」と名付けられ、Seqrite LabsによってNoisy Bearと追跡されている新たな脅威グループに関連付けられています。この脅威アクターは少なくとも2025年4月から活動しています。
「このキャンペーンはカズムナイガス(KazMunaiGas、KMG)の従業員を標的としており、脅威者はKMGのIT部門に関連する偽の文書を配布し、公式な内部コミュニケーションを装って、ポリシーの更新、内部認証手続き、給与調整などのテーマを利用しています」と、セキュリティ研究者のSubhajeet Singhaが述べています。
感染の連鎖は、ZIPファイルを添付したフィッシングメールから始まります。このZIPには、Windowsショートカット(LNK)ダウンローダー、カズムナイガス関連のダミー文書、そして「KazMunayGaz_Viewer」というプログラムを実行するようロシア語とカザフ語で書かれたREADME.txtファイルが含まれています。
サイバーセキュリティ企業によると、このメールはカズムナイガスの財務部門に勤務する個人の侵害されたメールアドレスから2025年5月に他の従業員へ送信されました。
LNKファイルのペイロードは、悪意のあるバッチスクリプトなど追加のペイロードを展開するよう設計されており、これがPowerShellローダー「DOWNSHELL」への道を開きます。攻撃の最終段階では、DLLベースのインプラント(シェルコードを実行してリバースシェルを起動できる64ビットバイナリ)が展開されます。
脅威アクターのインフラをさらに分析したところ、ロシア拠点のバレットプルーフホスティング(BPH)サービスプロバイダーAeza Group上にホストされていることが判明しました。同社は2025年7月に米国から悪意ある活動を助長したとして制裁を受けています。
この動きは、HarfangLabがベラルーシ系脅威アクターGhostwriter(別名 FrostyNeighbor または UNC1151)を、2025年4月以降ウクライナとポーランドを標的としたキャンペーンに関連付けたことを受けたものです。これらのキャンペーンでは、不正なZIPやRARアーカイブを使い、侵害されたシステムの情報収集やさらなる悪用のためのインプラント展開を狙っています。
「これらのアーカイブにはVBAマクロを含むXLSスプレッドシートが含まれており、マクロがDLLをドロップしてロードします」と、フランスのサイバーセキュリティ企業が述べています。「このDLLは侵害されたシステムの情報収集や、コマンド&コントロール(C2)サーバーから次段階のマルウェアを取得する役割を担っています。」
キャンペーンの後続バージョンでは、LNKショートカットとともにMicrosoft Cabinet(CAB)ファイルを書き込み、アーカイブからDLLを抽出・実行することが判明しています。その後、DLLは初期偵察を行い、外部サーバーから次段階のマルウェアをドロップします。
一方、ポーランドを標的とした攻撃では、攻撃チェーンを調整し、Slackをビーコン機構やデータ流出チャネルとして利用、代わりにドメインpesthacks[.]icuと通信する二次ペイロードをダウンロードします。
少なくとも一例では、マクロ付きExcelスプレッドシートからドロップされたDLLがCobalt Strike Beaconをロードし、さらなるポストエクスプロイト活動を促進しています。
「これらの小さな変更は、UAC-0057が検出回避のための代替手段を模索している可能性を示唆していますが、ステルス性や高度化よりも作戦の継続性や発展を優先しているようです」とHarfangLabは述べています。
ロシアを標的としたサイバー攻撃の報告#
これらの発見は、OldGremlinによる2025年前半のロシア企業への恐喝攻撃が再燃し、フィッシングメールキャンペーンを利用して8つもの大手国内産業企業を標的にしたことと時を同じくしています。
カスペルスキーによれば、侵入には「脆弱なドライバー持ち込み(BYOVD)」手法を使って被害者のコンピューター上のセキュリティソリューションを無効化し、正規のNode.jsインタープリターを使って悪意のあるスクリプトを実行していました。
ロシアを標的としたフィッシング攻撃では、オープンソースのスティーラー「Stealerium」をベースにした新たな情報窃取型マルウェア「Phantom Stealer」も配布されており、アダルトコンテンツや支払いに関するメールを餌に幅広い機密情報を収集しています。また、Stealeriumの派生型であるWarp Stealerとも共通点があります。
F6によると、Phantom StealerはStealeriumの「PornDetector」モジュールも継承しており、ユーザーがアダルトサイトを訪れた際にアクティブなブラウザウィンドウやタイトルに「porn」「sex」などの設定可能な語句が含まれているかを監視し、ウェブカメラのスクリーンショットを撮影します。
「これはおそらく後の『セクストーション(性的脅迫)』に利用されると考えられます」とProofpointは自身のマルウェア分析で述べています。「この機能はサイバー犯罪マルウェアでは目新しいものではありませんが、頻繁に観測されるものでもありません。」
ここ数か月で、ロシアの組織はCloud Atlas、Cloud Atlas、PhantomCore、Scaly Wolfといったハッキンググループによる攻撃も受けており、VBShower、PhantomRAT、PhantomRShellなどのマルウェアファミリーを使って機密情報の窃取や追加ペイロードの配布が行われています。
また、別の活動クラスターとしては、ロシア連邦保安庁(FSB)が作成したと偽るアンチウイルスツールを装った新たなAndroidマルウェアが、ロシア企業の関係者を標的にしています。アプリ名はSECURITY_FSB、ФСБ(FSBのロシア語表記)、GuardCBなどで、GuardCBはロシア連邦中央銀行を装う試みです。
2025年1月に初めて発見されたこのマルウェアは、メッセンジャーやブラウザアプリからデータを抜き取り、スマートフォンのカメラからストリーミングし、キーストロークを記録するために、SMSメッセージ、位置情報、音声、カメラへの広範な権限を要求します。また、バックグラウンド実行、デバイス管理者権限、アクセシビリティサービスの利用も求めます。
「アプリのインターフェースはロシア語のみを提供しています」とDoctor Webは述べています。「したがって、このマルウェアは完全にロシアのユーザーを対象としています。バックドアは、脅威アクターから該当するコマンドを受け取った場合、削除されないようアクセシビリティサービスも利用しています。」
翻訳元: https://thehackernews.com/2025/09/noisy-bear-targets-kazakhstan-energy.html