Sapphire Werewolf продолжает шпионить за российскими компаниями
Группировка Sapphire Werewolf начала свою деятельность в марте 2024 года и за это время они провели более 300 атак на российские компании в области образования, информационных технологий, военно-промышленного комплекса и аэрокосмической промышленности. Для кражи данных преступники использовали измененный инструмент с открытым исходным кодом.
Sapphire Werewolf рассылала жертвам фишинговые письма со ссылками, созданными с помощью сервиса-сокращателя T.LY. Пользователи намеревались скачать заявленные официальные документы, но вместо этого загружали вредоносный файл, при открытии которого устанавливалась вредоносная программа для кражи данных — стилер Amethyst.
Чтобы у жертвы не возникало подозрений, одновременно с загрузкой вредоносного ПО действительно открывался отвлекающий документ — постановление о возбуждении исполнительного производства, листовка ЦИК или указ Президента Российской Федерации. Сервис-сокращатель злоумышленники использовали с той же целью: это позволяло сделать ссылки похожими на легитимные.
Стилер Amethyst собирал со скомпрометированного устройства важную информацию. Это могли быть базы данных паролей, куки, история браузера, популярных сайтов и сохраненных страниц, текстовые и другие документы, а также файлы конфигурации, которые позволяли получить доступ к учетной записи жертвы в Telegram. Все данные собирались в архив и отправлялись в телеграм-бот злоумышленников.
По данным исследования Threat Zone 2024, в 2023 году 15% всех атак на организации России и других стран СНГ совершались ради шпионажа, 76% — с финансовой мотивацией, 9% связаны с хактивизмом.
Чтобы выявить применяемые Sapphire Werewolf методы закрепления на конечных точках IT-инфраструктуры, необходимо использовать решения класса endpoint detection and response. А обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз можно с помощью данных об актуальных изменениях киберландшафта, которые предоставляют порталы threat intelligence.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence: