Группировка Sapphire Werewolf разработала стилер для шпионажа за российскими компаниями

Хакерская группировка Sapphire Werewolf, которая действует с начала марта этого года, инициировала уже более 300 атак на российские компании в сфере IT, образования, военно-промышленного комплекса и аэрокосмической отрасли. Преступники похищали данные с помощью сильно модифицированного инструмента с открытым исходным кодом.

Злоумышленники действовали по такой схеме: они рассылали фишинговые письма со ссылками, которые были созданы через сервис сокращатель T.LY, после чего жертвы загружали вредоносный файл. Открыв его, на устройства попадал стилер Amethyst - вредоносная программное обеспечение для кражи данных.

Одновременно с загрузкой программы открывался отвлекающий документ: например, постановление о возбуждении исполнительного производства. Это делалось для того, чтобы у пользователей не возникало подозрений.

В это время Amethyst собирал со скомпрометированного устройства важную информацию, включая базы данных паролей, историю браузера, документы и даже файлы конфигурации, благодаря которым злоумышленники получали доступ к учетной записи жертвы в Telegram. Все полученные данные собирались в архив и отправлялись в бот преступников.

"С конца 2023 - начала 2024 года группировки, нацеленные на шпионаж, стали активно применять стилеры. При этом атакующим не обязательно разрабатывать такие программы с нуля. Например, стилер Amethyst, который использовала группировка Sapphire Werewolf, представляет собой модификацию опенсорсного вредоносного ПО SapphireStealer, которое злоумышленники доработали под свои задачи", - объяснил руководитель BI.ZONE Threat Intelligence Олег Скулкин.

Для того, чтобы выявить методы закрепления на конечных точках IT-инфраструктуры, применяемые Sapphire Werewolf, нужно использовать решения класса endpoint detection and response. Для обеспечения эффективной работы средств защиты информации, ускорения реагирования на инциденты и защиты от наиболее критических для организации угроз можно обращаться к данным об актуальных изменениях киберландшафта.

Вместе с тем сегодня не все отечественные компании готовы защищать себя от хакеров. Так, 55% организаций просто не хватает времени на это, 37% - необходимы компетенции для формирования соответствующих задач, а 31% - нуждаются в эффективной коммуникации с IT-командой.

"Наиболее объективные методы оценки защищенности, такие как тестирование на проникновение (58%) и киберучения (35%), проводятся нерегулярно, что приводит к недостаточному пониманию реального уровня защиты", - подчеркнул старший аналитик информационной безопасности исследовательской группы Positive Technologies Федор Чунижеков.

Также не все организации используют режим мониторинга и реагирования круглосуточно. Большая же часть - 64% - ограничивается ситуационным режимом или мониторингом во время рабочего дня, например, с 8:00 до 17:00. Однако из-за этого можно пропустить опасный инцидент или же среагировать на него несвоевременно.