ایک نئی سائبر مہم آپریشن بیریل فائر کے نام سے سامنے آئی ہے جس نے قازقستان کے توانائی کے شعبے کو نشانہ بنایا۔ یہ حملے ایک نئے گروپ نوئیزی بیئر سے منسوب کیے گئے ہیں جسے روسی نژاد سمجھا جا رہا ہے۔ یہ گروپ اپریل 2025 سے سرگرم ہے اور اسے سیکرائٹ لیبز نے شناخت کیا ہے۔
قاز منائی گیس پر حملہ
اس مہم کا براہِ راست ہدف قاز منائی گیس (KMG) کے ملازمین تھے۔ حملہ آوروں نے کمپنی کے فنانس ڈپارٹمنٹ کے ایک ملازم کے ای میل اکاؤنٹ کو ہیک کر کے باقی ملازمین کو فشنگ ای میلز بھیجیں۔ ان ای میلز میں ایک ZIP فائل موجود تھی جس میں درج ذیل چیزیں شامل تھیں:
•ایک ونڈوز شارٹ کٹ (LNK) ڈاؤنلوڈر
•قاز منائی گیس سے متعلق جعلی ڈاکیومنٹ
•ایک README.txt فائل جس میں روسی اور قازق زبان میں ہدایات لکھی تھیں کہ KazMunayGaz_Viewer نامی پروگرام چلائیں
ای میلز کو اس طرح تیار کیا گیا تھا جیسے وہ کمپنی کے آئی ٹی ڈیپارٹمنٹ سے بھیجی گئی ہوں۔ ان میں پالیسی اپ ڈیٹس، سرٹیفکیشن پروسیجر اور تنخواہ سے متعلق جعلی معلومات شامل تھیں۔
جب صارف LNK فائل کھولتا ہے تو یہ مزید نقصان دہ فائلیں ڈاؤن لوڈ کرتی ہے۔ ان میں ایک بیچ اسکرپٹ شامل ہوتا ہے جو DOWNSHELL نامی پاورشیل لوڈر انسٹال کرتا ہے۔ آخرکار یہ انفیکشن ایک DLL فائل انسٹال کرتا ہے جو شیل کوڈ رن کر کے ریورس شیل قائم کر سکتی ہے۔
سیکرائٹ لیبز نے بتایا کہ نوئیزی بیئر کا انفراسٹرکچر ایزا گروپ نامی روسی ہوسٹنگ سروس پر ہے۔ یہ کمپنی جولائی 2025 میں امریکا کی جانب سے سائبر سرگرمیوں کو سپورٹ کرنے کے الزام میں بلیک لسٹ کی گئی تھی۔
دیگر علاقائی مہمات
اسی دوران، ہارفانگ لیب نے ایک اور گروپ گوسٹ رائٹر (جو بیلاروس سے منسلک ہے) کو یوکرین اور پولینڈ پر حملوں سے جوڑا ہے۔ اپریل 2025 سے یہ گروپ جعلی ZIP اور RAR فائلوں کے ذریعے حملے کر رہا ہے جن میں ایکسل فائلیں شامل ہوتی ہیں۔ ان فائلوں میں VBA میکرو ہوتا ہے جو DLL فائل انسٹال کرتا ہے۔ یہ DLL متاثرہ سسٹم سے معلومات اکٹھی کرتا ہے اور مزید میلویئر ڈاؤن لوڈ کرتا ہے۔
•یوکرین میں، یہ حملے CAB فائل اور LNK شارٹ کٹ کے ذریعے DLL انسٹال کرتے ہیں۔
•پولینڈ میں، اس مہم کو تھوڑا بدلا گیا اور Slack ایپ کو ڈیٹا نکالنے کے لیے استعمال کیا گیا۔ اس کے بعد دوسرا میلویئر ڈاؤن لوڈ ہوتا ہے جو pesthacks[.]icu ڈومین سے رابطہ کرتا ہے۔
کچھ کیسز میں یہ DLL Cobalt Strike Beacon انسٹال کرنے کے لیے استعمال ہوا تاکہ مزید حملے کیے جا سکیں۔ ماہرین کے مطابق، یہ گروپ اپنی تکنیک میں چھوٹی تبدیلیاں کرتا ہے لیکن اپنی مہم کو مسلسل جاری رکھے ہوئے ہے۔
روس کے خلاف سائبر حملے
دوسری طرف، روسی کمپنیوں کو بھی 2025 کے پہلے نصف میں بڑے حملوں کا سامنا کرنا پڑا۔ ایک گروپ اولڈ گریملن نے آٹھ بڑی صنعتی کمپنیوں پر ایکسٹورشن حملے کیے۔ ان حملوں میں فشنگ ای میلز، Bring Your Own Vulnerable Driver (BYOVD) ٹیکنیک کے ذریعے سکیورٹی سافٹ ویئر بند کرنا، اور Node.js کے ذریعے نقصان دہ اسکرپٹس چلانا شامل تھا۔
اسی دوران ایک نیا میلویئر فینٹم اسٹیالر بھی روس میں فشنگ حملوں کے ذریعے پھیلایا گیا۔ یہ Stealerium نامی اوپن سورس میلویئر پر مبنی ہے۔ یہ براؤزر ڈیٹا اور لاگ ان کی معلومات چرا لیتا ہے۔ فینٹم اسٹیالر میں ایک خاص فیچر PornDetector بھی شامل ہے جو اس وقت ویب کیم کے اسکرین شاٹ لیتا ہے جب صارف بالغ ویب سائٹس وزٹ کرتا ہے۔ ماہرین کا کہنا ہے کہ اس فیچر کو بلیک میل اور سیکسٹورشن کے لیے استعمال کیا جا سکتا ہے۔
اس کے علاوہ، روسی اداروں کو دوسرے گروپس جیسے Cloud Atlas, PhantomCore اور Scaly Wolf نے بھی نشانہ بنایا ہے۔ ان گروپس نے VBShower, PhantomRAT اور PhantomRShell جیسے میلویئر استعمال کیے۔
جعلی ایف ایس بی اینڈرائیڈ ایپس
جنوری 2025 میں ایک اور رجحان سامنے آیا جہاں اینڈرائیڈ میلویئر کو روسی سکیورٹی ایجنسی FSB کے جعلی اینٹی وائرس ٹول کے طور پر پھیلایا گیا۔ ان ایپس کے نام SECURITY_FSB, ФСБ اور GuardCB رکھے گئے۔ GuardCB نے خود کو روسی سینٹرل بینک کے ایپ کے طور پر ظاہر کیا۔
یہ ایپس ایس ایم ایس، آڈیو، لوکیشن، کیمرہ اور ایڈمن رائٹس تک رسائی مانگتی تھیں۔ ان میں ایسی سہولت بھی شامل تھی جو انہیں ڈیلیٹ ہونے سے بچاتی تھی۔ ان کا انٹرفیس صرف روسی زبان میں تھا، جس سے ظاہر ہوتا ہے کہ ہدف صرف روسی صارفین تھے۔ یہ میلویئر میسنجر اور براؤزر ایپس سے ڈیٹا چرا سکتا تھا، کیمرہ اسٹریمنگ کر سکتا تھا اور کی اسٹروکس لاگ کر سکتا تھا۔
سورس
https://thehackernews.com/2025/09/noisy-bear-targets-kazakhstan-energy.html?m=1
