Группировка Sapphire Werewolf переписала стилер

Хакерская группировка Sapphire Werewolf (активна с начала марта 2024 года) переписала стилер с открытым исходным кодом, чтобы шпионить за российскими компаниями. 

С начала активности группировка более 300 раз инициировала атаки на российские организации из сферы образования, IT, ВПК и аэрокосмической отрасли. Для кражи данных преступники использовали сильно модифицированный инструмент с открытым исходным кодом.

Sapphire Werewolf рассылала жертвам фишинговые письма со ссылками, созданными с помощью сервиса-сокращателя T.LY. Пользователи намеревались скачать заявленные официальные документы, но вместо этого загружали вредоносный файл, при открытии которого устанавливалась вредоносная программа для кражи данных — стилер Amethyst.

Чтобы у жертвы не возникало подозрений, одновременно с загрузкой вредоносного ПО действительно открывался отвлекающий документ — постановление о возбуждении исполнительного производства, листовка ЦИК или указ Президента Российской Федерации. Сервис-сокращатель злоумышленники использовали с той же целью: это позволяло сделать ссылки похожими на легитимные. 

Стилер Amethyst собирал со скомпрометированного устройства важную информацию. Это могли быть базы данных паролей, куки, история браузера, популярных сайтов и сохраненных страниц, текстовые и другие документы, а также файлы конфигурации, которые позволяли получить доступ к учетной записи жертвы в Telegram. Все данные собирались в архив и отправлялись в телеграм-бот злоумышленников. 

«С конца 2023 — начала 2024 года группировки, нацеленные на шпионаж, стали активно применять стилеры. При этом атакующим не обязательно разрабатывать такие программы с нуля. Например, стилер Amethyst, который использовала группировка Sapphire Werewolf, представляет собой модификацию опенсорсного вредоносного ПО SapphireStealer, которое злоумышленники доработали под свои задачи», — рассказал Олег Скулкин, руководитель BI.ZONE Threat Intelligence. 

По данным исследования Threat Zone 2024, в 2023 году 15% всех атак на организации России и других стран СНГ совершались ради шпионажа, 76% — с финансовой мотивацией, 9% связаны с хактивизмом. 

В начале мая в F.A.С.С.T. зафиксировали масштабную почтовую рассылку (было отправлено более 300 писем) от имени одного из крупнейших в России поставщиков электрооборудования. В них мошенники просили получателей прислать коммерческое предложение с «конкурентоспособными ценами для продуктов, перечисленных в приложенный документ заказа на поставку». К письму был прикреплен zip-архив, при открытии которого на устройство получателя загружалось вредоносное ПО. 

Именно так происходило заражение тем самым стилером Loki, цель которого заключается в хищении сохраненных в системе логинов-паролей. Собранную информации стилер отправляет своему оператору, что позволяет преступникам использовать ее для открытия доступа к почтовым аккаунтам, базам данных, для финансового мошенничества, вымогательства и т.д.