Código HTML do Conteúdo

Post: Noisybear explora arquivos ZIP para carregadores e dados do PowerShell - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <p>O ator de ameaças conhecido como NoisyBear lançou um sofisticado esforço cibernético chamado Operação Barrelfire, usando iscas de phishing especialmente projetadas que imitam a correspondência interna para o setor energético do Alvo do Cazaquistão, particularmente os trabalhadores do major estatal de petróleo e gás Kazmunaigas.</p> <p>Pesquisadores de segurança do Seqrite Labs observaram a campanha pela primeira vez em abril de 2025 e observaram sua rápida escalada até maio.</p> <h2 id="h-spear-phishing-lure-mimics-hr-notices"><strong>A atração de phishing de lança imita os avisos de RH</strong></h2> <p>O vetor de ataque inicial de Noisybear confiou em um e -mail comprometido do Departamento de Finanças na Kazmunaigas. </p> <p>Em 15 de maio de 2025, os funcionários receberam mensagens com a linha de assunto urgente “Urgente! Revise o cronograma de salário atualizado”. </p> <p>O órgão de e -mail instruiu os destinatários – em russo e cazaque – para baixar e extrair um arquivo zip chamado граproducking.zip (“schedule.zip”) e depois abrir um arquivo de atalho, граordar зарпаат.lnk (“Salary.lnk”), pura a ser atualizada para serem atualizadas para serem atualizadas para serem atualizadas para serem atualizadas para serem atualizadas para serem atualizadas para serem atualizadas para serem atualizadas para serem atualizadas para serem atualizadas para serem atualizadas. </p> <p>A mensagem criou urgência impondo um prazo de conformidade e até referenciou a equipe de suporte de TI para melhorar a legitimidade.</p> <p>Sob o capô, o Arquivo Zip continha três itens: um documento de engodo com o logotipo Kazmunaigas, um readme.txt com instruções do usuário e o malicioso <em>.Lnk</em> atalho.</p> <p>Depois de executado, o atalho usou o próprio binário do PowerShell do Windows para baixar um script em lote de um servidor remoto em 77.239.125.41:8443, colocando -o na pasta “C: Users public” e iniciando -o automaticamente.</p> <h2 id="h-multi-stage-infection-chain-unveiled"><strong>Cadeia de infecção de vários estágios revelada</strong></h2> <p>Os pesquisadores dissecaram a cadeia de infecções em quatro estágios distintos:</p> <p><strong>1. Implantação de scripts em lote</strong></p> <p>O download inicial de lote (123.bat e it.bat) buscou dois scripts do carregador PowerShell – Support.ps1 e A.PS1 – da infraestrutura do atacante. </p> <p>Cada script incluiu uma pausa deliberada (10 a 11 segundos) antes de executar para evitar ambientes de sandbox.</p> <p><strong>2. AMSI Bypass e execução do carregador</strong></p> <p>O script suport.ps1 alavancado .NET Reflection para desativar a interface de varredura anti-malware do Windows (AMSI) lançando o interno <code>amsiInitFailed</code> sinalizador, permitindo que as cargas úteis subsequentes carreguem sem controle. </p> <p>O segundo script resolveu dinamicamente as funções da API do Windows para execução de código na memória e depois injetou o codificador de casca reversa do medidor no <em>explorer.exe</em> Processo usando o CreateremOteThread.</p> <p><strong>3. DLL Implant e seqüestro de threads</strong></p> <p>A carga útil final foi um implante de DLL de 64 bits que imponente um mecanismo de instância único por meio de semáforos e eventos nomeados. </p> <p>Ele gerou um suspenso <code>rundll32.exe</code> Processo, sequestrou seu contexto de encadeamento, alocou a memória RWX e injetou uma carga útil de shell reversa antes de retomar a execução.</p> <p><strong>4. Comando e controle e persistência</strong></p> <p>Uma vez que a concha reversa foi estabelecida, os operadores da NoisyBear poderiam exfiltrar dados sensíveis-particularmente credenciais e documentos internos-e potencialmente manter o acesso a longo prazo às redes da empresa.</p> <ol></ol> <p>Os caçadores de ameaças da Seqrite descobriram que a infraestrutura de Noisybear foi hospedada em servidores sob o provedor de hospedagem russo sancionado AEZA Group LLC. </p> <p>Um reconhecimento adicional revelou aplicativos da Web adicionais maliciosos que disfarçaram sites de bem-estar e fitness, provavelmente servindo como hubs de comando e controle alternativos.</p> <p>Análise das ferramentas e técnicas-uso extensivo do PowerShell, injeção reflexiva de DLL, seqüestro de contexto de rosca, resolução dinâmica da API e comentários de língua russa em scripts-alinham-se com os grupos de cibercordações de língua russa conhecidas. </p> <p>Erros operacionais, como reutilizar domínios de host remota e estagiários compartilhados, fortaleceram a atribuição.</p> <h2 id="h-defense-recommendations-and-technical-indicators"><strong>Recomendações de defesa e indicadores técnicos</strong></h2> <p>Para se proteger contra incursões semelhantes, as equipes de segurança devem:</p> <ul> <li>Aplique a filtragem e a caixa de areia de e -mail rigorosos e o acessório, principalmente para arquivos de arquivamento que contêm executáveis ou atalhos.</li> <li>Ative as técnicas de registro da AMSI e bloqueie as técnicas conhecidas de lolbin (vivendo o binário da terra).</li> <li>Monitor <code>System.Management.Automation.AmsiUtils</code> ou padrões refletivos de carregamento de código.</li> <li>Realize a caça regular de ameaças para semáforos e eventos nomeados vinculados à injeção de DLL não autorizada.</li> </ul> <p>Seqrite Labs também <a href="https://www.seqrite.com/blog/operation-barrelfire-noisybear-kazakhstan-oil-gas-sector/" rel="noreferrer noopener nofollow" target="_blank">publicado</a> Indicadores extensos de compromisso (IOCs), incluindo hashes de arquivos para os estágios ZIP, LNK, LOTA, POWERSHELL e DLL, bem como domínios C2 e IPs do Noisybear:</p> <p>Com o setor energético da Ásia Central cada vez mais sob o microscópio, as organizações devem permanecer vigilantes e adotar as defesas em camadas contra esforços de intrusão altamente personalizados e de vários estágios, como a Operação Barrelfire.</p> <h2 id="h-indicators-of-compromise-iocs"><strong>Indicadores de compromisso (COI):</strong></h2> <p><strong>Baseado em arquivo</strong></p> <figure> <table> <thead> <tr> <th><strong>Tipo de arquivo</strong></th> <th><strong>SHA-256</strong></th> </tr> </thead> <tbody> <tr> <td>Panorama</td> <td>5168A1E22EE969DB7CEA0D3E9EB64DB4A0C648EEE43DA8BACF4C7126F58F0386</td> </tr> <tr> <td>Zip</td> <td>021B3D53FE113D014A9700488E31A6FB5E16CB02227DE5309F6F93AFFA4515A6</td> </tr> <tr> <td>Zip</td> <td>F5E7DC5149C453B98D05B73CAD7AC1C42B381F72B6F7203546C789F4E750EB26</td> </tr> <tr> <td>Lnk</td> <td>A40E7EB0CB176D2278C4AB02C4657F9034573AC83CEE4CDE38096028F243119C</td> </tr> <tr> <td>Lnk</td> <td>26F009351F4C645AD4DF3C1708F74AE2E5F8D22F3B0BBBB4568347A2A72651BEE</td> </tr> <tr> <td>Script em lote</td> <td>D48EB6AFCC5A3834B3E4CA9E0672B61F9D945DD41046C9AAF782382A6044F97</td> </tr> <tr> <td>Script em lote</td> <td>1EECFC1C607BE3891E955846C7DA70B0109DB9F9FDF01DE45916D3727BFF96E0</td> </tr> <tr> <td>Powershell</td> <td>DA98B0CBCD784879BA38503946898D747ADE08ACE1D4F38D0FB966703E078BBF</td> </tr> <tr> <td>Powershell</td> <td>6D6006EB2BAA75712BFE867BF5E4F09288A7D860A4623A4176338993B9DDFB4B</td> </tr> <tr> <td>Powershell</td> <td>FB0F7C35A58A02473F26AABEA4F682E2E483DB84B606DB2ECA36AA6C7E7D9CF8</td> </tr> <tr> <td>Dll</td> <td>1BFE65ACBB9E509F80EFCFE04B23DAF31381E8B95A98112B81C9A080BDD65A2D</td> </tr> </tbody> </table> </figure> <p><strong>Baseado em rede</strong></p> <figure> <table> <thead> <tr> <th><strong>Domínios / ips</strong></th> </tr> </thead> <tbody> <tr> <td>77[.]239[.]125[.]41</td> </tr> <tr> <td>WellFitPlan[.]ru</td> </tr> <tr> <td>178[.]159[.]94[.]8</td> </tr> </tbody> </table> </figure> <p><strong>MITRE ATT & CK Mapping</strong></p> <figure> <table> <thead> <tr> <th><strong>Tática</strong></th> <th><strong>ID da técnica</strong></th> <th><strong>Nome</strong></th> </tr> </thead> <tbody> <tr> <td>Reconhecimento</td> <td>T1589.002</td> <td>Reunir informações de identidade da vítima: endereços de e -mail</td> </tr> <tr> <td>Acesso inicial</td> <td>T1204.002</td> <td>Execução do usuário: arquivo malicioso</td> </tr> <tr> <td></td> <td>T1078.002</td> <td>Contas válidas: contas de domínio</td> </tr> <tr> <td>Execução</td> <td>T1059.001</td> <td>Intérprete de comando e script: PowerShell</td> </tr> <tr> <td></td> <td>T1059.00</td> <td>Intérprete de comando e script</td> </tr> <tr> <td>Evasão de defesa</td> <td>T1562</td> <td>Prejudicar as defesas</td> </tr> <tr> <td></td> <td>T1027.007</td> <td>Arquivo criptografado/codificado</td> </tr> <tr> <td></td> <td>T1027.013</td> <td>Resolução dinâmica da API</td> </tr> <tr> <td></td> <td>T1055.003</td> <td>Seqüestro de execução de threads</td> </tr> <tr> <td></td> <td>T1620</td> <td>Carregamento de código reflexivo</td> </tr> <tr> <td></td> <td>T1218.011</td> <td>Execução de proxy binária do sistema: runndll32</td> </tr> <tr> <td>Comando e controle</td> <td>T1105</td> <td>Transferência de ferramentas de entrada</td> </tr> <tr> <td>Exfiltração</td> <td>T1567.002</td> <td>Exfiltração ao armazenamento em nuvem</td> </tr> </tbody> </table> </figure> <p><strong>Encontre esta história interessante! Siga -nos<a href="https://www.linkedin.com/company/cybersecurity-news/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/cyber_press_org" rel="noreferrer noopener" target="_blank">X</a>Para obter mais atualizações instantâneas</strong>.</p> </div></div>