09/04/25
Кибершпионы продолжают использовать нехарактерные для себя методы атак. За последние месяцы уже второй шпионский кластер — Sapphire Werewolf — маскирует фишинг под письма от рекрутеров. На этот раз потенциальной жертвой стали компании ТЭК.
По данным Threat Zone 2025 — годового исследования ландшафта киберугроз России и других стран СНГ — энергетика вошла в топ-10 наиболее атакуемых отраслей в 2024 году. Из всех группировок, атакующих ТЭК, более половины нацелены на шпионаж.
Обычно кластеры активности, действующие в целях шпионажа, маскируются под рекрутеров крайне редко: менее чем в 1% всех случаев. Как правило, кибершпионы предпочитают писать своим жертвам от лица регуляторов и других государственных организаций. Однако нынешняя кампания Sapphire Werewolf — уже вторая за короткое время, когда шпионы притворяются HR-специалистами. В конце 2024 года то же самое сделала группировка Sqiud Werewolf, предложив в фишинговом письме высокооплачиваемую работу.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
В феврале 2025 года мы обнаружили новую кампанию уже известного кластера Sapphire Werewolf, нацеленного на шпионаж. В этот раз злоумышленники попытались проникнуть в IT-инфраструктуру энергетической компании для скрытого сбора данных. Рассылая фишинговые письма под видом служебных записок от отдела кадров, они доставляли на компьютер жертвы усовершенствованную версию стилера Amethyst. С его помощью злоумышленники могли извлечь аутентификационные данные из Telegram, браузеров, файлы конфигураций удаленных рабочих столов и различные типы документов.
Это не первая кампания группировки Sapphire Werewolf. В 2024 году кластер атаковал российские организации из сфер образования, IT, ВПК и аэрокосмической отрасли, используя для кражи данных модифицированное ВПО SapphireStealer. Новая кампания отличается тем, что группировка добавила в инструмент многочисленные проверки выполнения кода в виртуальной среде и симметричный алгоритм шифрования Triple DES, чтобы затруднить анализ вредоносного кода. Это позволяет злоумышленникам эффективнее обходить средства защиты информации.
Как и другие кластеры, Sapphire Werewolf получает первоначальный доступ в инфраструктуру жертвы с помощью фишинговых писем. Защититься от них позволяют сервисы фильтрации нежелательной почты. Например, решение BI.ZONE Mail Security обладает высокопроизводительным ядром собственной разработки BI.ZONE и совмещает разные методы анализа email-трафика.
А чтобы эффективно строить защиту организации, нужно быть в курсе методов и инструментов, используемых злоумышленниками. Для этого подходит портал BI.ZONE Threat Intelligence, который предоставляет подробную информацию об актуальном ландшафте киберугроз, включая сведения с теневых ресурсов. Эти данные помогают проактивно защитить компанию и ускорить реагирование на киберинциденты.
