Спецпроекты

Безопасность

Группировка Sapphire Werewolf переписала стилер с открытым исходным кодом, чтобы шпионить за российскими компаниями

Группировка Sapphire Werewolf активна с начала марта 2024 г. За это время преступники более 300 раз инициировали атаки на российские организации из сферы образования, ИТ, ВПК и аэрокосмической отрасли. Для кражи данных преступники использовали сильно модифицированный инструмент с открытым исходным кодом. Об этом CNews сообщили представители Bi.Zone.

Sapphire Werewolf рассылала жертвам фишинговые письма со ссылками, созданными с помощью сервиса-сокращателя T.LY. Пользователи намеревались скачать заявленные официальные документы, но вместо этого загружали вредоносный файл, при открытии которого устанавливалась вредоносная программа для кражи данных — стилер Amethyst.

Чтобы у жертвы не возникало подозрений, одновременно с загрузкой вредоносного ПО действительно открывался отвлекающий документ — постановление о возбуждении исполнительного производства, листовка ЦИК или указ Президента России. Сервис-сокращатель злоумышленники использовали с той же целью: это позволяло сделать ссылки похожими на легитимные.

Стилер Amethyst собирал со скомпрометированного устройства важную информацию. Это могли быть базы данных паролей, куки, история браузера, популярных сайтов и сохраненных страниц, текстовые и другие документы, а также файлы конфигурации, которые позволяли получить доступ к учетной записи жертвы в Telegram. Все данные собирались в архив и отправлялись в телеграм-бот злоумышленников.

Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «С конца 2023 — начала 2024 гг. группировки, нацеленные на шпионаж, стали активно применять стилеры. При этом атакующим не обязательно разрабатывать такие программы с нуля. Например, стилер Amethyst, который использовала группировка Sapphire Werewolf, представляет собой модификацию опенсорсного вредоносного ПО SapphireStealer, которое злоумышленники доработали под свои задачи».

По данным исследования Threat Zone 2024, в 2023 г. 15% всех атак на организации России и других стран СНГ совершались ради шпионажа, 76% — с финансовой мотивацией, 9% связаны с хактивизмом.

Чтобы выявить применяемые Sapphire Werewolf методы закрепления на конечных точках ИТ-инфраструктуры, необходимо использовать решения класса endpoint detection and response. А обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз можно с помощью данных об актуальных изменениях киберландшафта, которые предоставляют порталы threat intelligence.

***

Bi.Zone — компания по управлению цифровыми рисками. Bi.Zone разрабатывает собственные продукты для обеспечения устойчивости ИТ‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и др., защитив свыше 600 клиентов в 15 странах мира.

Короткая ссылка