كشف باحثون في الأمن السيبراني عن سلسلة هجمات جديدة تستهدف قطاع الطاقة في كازاخستان، يُرجّح أن يكون مصدرها جهات تهديد روسية. أُطلق على هذه الحملة اسم Operation BarrelFire، وهي مرتبطة بمجموعة تهديدات جديدة تتعقبها شركة Seqrite Labs تحت اسم Noisy Bear، والتي كانت نشطة منذ أبريل 2025 على الأقل.
وأوضح الباحث سوبهاجيت سينغا أن الحملة تستهدف موظفي شركة KazMunaiGas (KMG) من خلال إرسال مستندات مزيفة تتعلق بقسم تكنولوجيا المعلومات في الشركة، محاكيةً رسائل رسمية داخلية، وتتناول مواضيع مثل تحديث السياسات، إجراءات الشهادات الداخلية، وتعديلات الرواتب.
أسلوب الهجوم وسلسلة العدوى
تبدأ سلسلة الهجوم برسائل تصيّد إلكترونية تحتوي على مرفق ZIP يشمل:
-
ملف اختصار Windows (LNK) لتحميل البرمجيات الخبيثة
-
مستند وهمي مرتبط بـ KazMunaiGas
-
ملف README.txt يحتوي تعليمات باللغتين الروسية والكازاخستانية لتشغيل برنامج يسمى KazMunayGaz_Viewer
أُرسلت الرسائل من عنوان بريد إلكتروني تم اختراقه لأحد موظفي قسم المالية في الشركة، واستهدفت موظفين آخرين في مايو 2025.
يعمل ملف LNK على تنزيل برمجيات إضافية، بما في ذلك سكربت Batch خبيث يُهيئ محمل PowerShell يُدعى DOWNSHELL، قبل أن يتم نشر زرع برمجي يعتمد على DLL، وهو ملف ثنائي 64-بت قادر على تشغيل شيفرة خبيثة لإطلاق Reverse Shell.
البنية التحتية للمهاجمين وروابط عالمية
أظهرت التحليلات أن البنية التحتية للمهاجمين مستضافة على خدمة Bulletproof Hosting روسية تُدعى Aeza Group، والتي فرضت عليها الولايات المتحدة عقوبات في يوليو 2025 لدورها في تمكين الأنشطة الخبيثة.
كما ربطت مختبرات HarfangLab مجموعة تهديد بيلا روسية تعرف باسم Ghostwriter (FrostyNeighbor أو UNC1151) بحملات استهدفت أوكرانيا وبولندا منذ أبريل 2025، باستخدام أرشيفات ZIP وRAR خبيثة لجمع معلومات حول الأنظمة المخترقة ونشر زرع برمجي لمزيد من الاستغلال.
هذه الأرشيفات غالبًا تحتوي على جداول Excel مزودة بماكرو VBA يقوم بتحميل ملفات DLL، والتي تجمع معلومات النظام المخترق وتجلب برمجيات المرحلة التالية من خادم C2.
تطوير الحملة وأساليب الالتفاف على الكشف
في الهجمات التي استهدفت بولندا، تم تعديل سلسلة الهجوم لاستخدام Slack كقناة للاتصال وتسريب البيانات، وتنزيل مرحلة ثانية من البرمجيات تتصل بالنطاق pesthacks[.]icu.
في بعض الحالات، يستخدم ملف DLL الذي تم تنزيله عبر Excel لتحميل Cobalt Strike Beacon لتسهيل أنشطة ما بعد الاستغلال.
وتشير هذه التعديلات الطفيفة إلى أن المهاجمين قد يستكشفون بدائل لتجنب الكشف، مع التركيز على استمرار العمليات بدلاً من التمويه أو التعقيد العالي.
هجمات سيبرانية أخرى على روسيا
تزامن ذلك مع تجدد هجمات الابتزاز التي شنتها مجموعة OldGremlin على شركات روسية خلال النصف الأول من 2025، مستهدفة ثمانية مؤسسات صناعية كبيرة عبر حملات تصيّد.
كما تم رصد برمجيات خبيثة جديدة مثل Phantom Stealer التي تعتمد على Stealerium لجمع معلومات حساسة، بما في ذلك الصور من الكاميرا عند زيارة مواقع إباحية، وقد تُستخدم لاحقًا لأغراض الابتزاز الجنسي (sextortion).
شملت الهجمات الأخيرة أيضًا برمجيات على Android تنتحل صفة أدوات مكافحة فيروسات تابعة لجهاز الأمن الفيدرالي الروسي (FSB)، تهدف لاستهداف موظفي الشركات الروسية، مع جمع بيانات من الرسائل، المتصفح، الكاميرا، وتسجيل ضغطات المفاتيح.
وأوضح Doctor Web أن هذه التطبيقات تركز على المستخدمين الروس فقط، وتستخدم خدمات الوصول لتجنب الحذف عند تلقي أوامر من المهاجمين.
