Поделиться
Bi.Zone: половина кибергруппировок, атакующих российскую энергетику, нацелена на шпионаж
Кибершпионы продолжают использовать нехарактерные для себя методы атак. За последние месяцы уже второй шпионский кластер — Sapphire Werewolf — маскирует фишинг под письма от рекрутеров. На этот раз потенциальной жертвой стали компании ТЭК. Об этом CNews сообщили представители Bi.Zone.
По данным Threat Zone 2025 — годового исследования ландшафта киберугроз России и других стран СНГ — энергетика вошла в топ-10 наиболее атакуемых отраслей в 2024 г. Из всех группировок, атакующих ТЭК, более половины нацелены на шпионаж.
Обычно кластеры активности, действующие в целях шпионажа, маскируются под рекрутеров крайне редко: менее чем в 1% всех случаев. Как правило, кибершпионы предпочитают писать своим жертвам от лица регуляторов и других государственных организаций. Однако нынешняя кампания Sapphire Werewolf — уже вторая за короткое время, когда шпионы притворяются HR-специалистами. В конце 2024 г. то же самое сделала группировка Sqiud Werewolf, предложив в фишинговом письме высокооплачиваемую работу.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «В феврале 2025 г. мы обнаружили новую кампанию уже известного кластера Sapphire Werewolf, нацеленного на шпионаж. В этот раз злоумышленники попытались проникнуть в ИТ-инфраструктуру энергетической компании для скрытого сбора данных. Рассылая фишинговые письма под видом служебных записок от отдела кадров, они доставляли на компьютер жертвы усовершенствованную версию стилера Amethyst. С его помощью злоумышленники могли извлечь аутентификационные данные из Telegram, браузеров, файлы конфигураций удаленных рабочих столов и различные типы документов».
Это не первая кампания группировки Sapphire Werewolf. В 2024 г. кластер атаковал российские организации из сфер образования, ИТ, ВПК и аэрокосмической отрасли, используя для кражи данных модифицированное ВПО SapphireStealer. Новая кампания отличается тем, что группировка добавила в инструмент многочисленные проверки выполнения кода в виртуальной среде и симметричный алгоритм шифрования Triple DES, чтобы затруднить анализ вредоносного кода. Это позволяет злоумышленникам эффективнее обходить средства защиты информации.
Как и другие кластеры, Sapphire Werewolf получает первоначальный доступ в инфраструктуру жертвы с помощью фишинговых писем. Защититься от них позволяют сервисы фильтрации нежелательной почты.
Короткая ссылка
