گروه تهدید سایبری  Noisy Bear احتمالاً با منشأ روسی عملیات هدفمند  BarrelFire  را از آپریل ۲۰۲۵ علیه بخش انرژی کشور قزاقستان آغاز کرده است. این حمله با ارسال ایمیل‌های فیشینگ با موضوعاتی مانند به‌روزرسانی سیاست‌ها و تغییرات حقوقی، کارکنان KazMunaiGas (KMG)  را فریب داده و فایل‌های آلوده ZIP حاوی LNK، README.txt  و سند جعلی را به سیستم‌ها وارد کرده‌اند.

در زنجیره نفوذ:

1. ایمیل از حساب به‌دست‌آمده مالی ارسال می‌شود.
2. فایل LNK دانلودر اجرا و ابتدا یک اسکریپت batch اجرا می‌شود.
3. سپس بارگذاری‌کننده PowerShell به‌ نام DOWNSHELL  فعال و در نهایت DLL‌ ‌ای ۶۴-بیتی با قابلیت راه‌اندازی reverse-shell پیاده و اجرا می‌شود.
4. زیرساخت حمله روی میزبان‌های bulletproof متعلق به گروه Aeza  در روسیه میزبانی شده که توسط آمریکا تحریم شده‌اند .

چرا این نفوذ مهم است و چه پیامی برای سازمان‌های ایرانی دارد؟

• این حمله نمونه‌ای از حملات هدفمند و پیشرفته است که با تکیه بر مهندسی اجتماعی ( Spear Phishing)و استفاده از لایه‌های چندگانه آلودگی انجام شده.
• سازمان‌های ایران نیز به‌ویژه در حوزه‌های نفت، گاز، برق و مخابرات می‌توانند به‌راحتی هدف چنین حملاتی قرار گیرند، خصوصاً در فضای سیاسی کنونی.
• این تهدید به‌وضوح نشان می‌دهد که ایمیل‌های داخلی، خود دروازه تهدید محسوب می‌شوند و هیچ‌گونه اعتمادی نباید به آن‌ها بود.

درس‌ها و توصیه‌های کاربردی برای سازمان‌های ایرانی

1 . ایمیل داخلی هم آسیب‌پذیر است

یقین به ایمیل‌های سازمانی اشتباه است. همه ایمیل‌ها، حتی داخلی، باید قبل از باز شدن از لحاظ امنیتی اسکن شوند.

2 . مهندسی اجتماعی از طریق ظاهر رسمی

ایمیل‌های فیشینگ با قالب رسمی—مثل بخشنامه، گواهی‌نامه یا تغییر حقوق—می‌توانند حتی مدیران ارشد را فریب دهند. آموزش و آگاهی‌سازی مستمر ضروری است.

3 . دفاع چندلایه‌ای

• اجرای محدود فایل‌های ناشناس: ابزارهایی مانند AppLocker یا مشابه آن‌ها باید برای جلوگیری از اجرای فایل‌هایی مانند LNK و DLL ناشناس فعال شوند.
• نظارت دقیق بر PowerShell : استفاده از EDR/EDR پیشرفته و تنظیم سیاست‌های اجرای امن برای اسکریپت‌ها الزامی است.

4 . محافظت از زنجیره تأمین

نقاط ضعف خدمات ثالث نرم‌افزارها یا اپلیکیشن‌های خارجی می‌توانند نقطه ورود مهاجمان باشند. بررسی امنیتی و ارزیابی دقیق باید به‌صورت منظم انجام شود.

5 . گسترش استفاده از MFA

پیاده‌سازی احراز هویت چندمرحله‌ای برای دسترسی به ایمیل سازمانی و سیستم‌های حیاتی، مانع مهمی در برابر نفوذ اولیه است.

6 . تهیه نسخه‌های پشتیبان امن

نسخه پشتیبان آفلاین از داده‌های حساس تهیه و تست بازیابی آن به‌طور منظم انجام شود.

7 . ایجاد تیم واکنش به حادثه (CSIRT)

تشکیل تیم اختصاصی واکنش به حادثه یا همکاری با سازمان‌های امنیتی معتبر (MSSP) باعث افزایش سرعت شناسایی و پاسخ‌گویی به حملات می‌شود.

جمع‌بندی

حمله BarrelFire به‌ روشنی نشان می‌دهد که مهاجمان فراتر از سرقت داده‌ها اقدام می‌کنند و هدف‌شان ایجاد اختلال در زیرساخت‌های حیاتی است. سازمان‌های ایرانی برای جلوگیری از این سناریوها نه‌تنها باید سیستم‌های امنیتی‌شان را تقویت کنند، بلکه فرهنگ امنیت را هم در همه سطوح رفتار سازمانی تقویت نمایند.