Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
29.05.2024

Более 300 кибератак за 3 месяца: Sapphire Werewolf нацелилась на важнейшие сектора России

Компания BI.ZONE предупредила об активности хакерской группировки Sapphire Werewolf, которая проводит кибератаки против российских организаций с начала марта 2024 года. За этот период злоумышленники инициировали более 300 атак, нацеленных на кражу данных в сферах образования, IT, оборонно-промышленного комплекса и аэрокосмической отрасли.

Для проникновения в корпоративные сети хакеры рассылали жертвам фишинговые письма со ссылками, созданными с помощью сервиса-сокращателя T.LY. Эти ссылки вели на вредоносные файлы, замаскированные под псевдоофициальные документы. При их открытии на зараженных компьютерах устанавливалась вредоносная программа-стилер Amethyst для кражи данных.

Для повышения достоверности атаки параллельно с загрузкой вредоносного ПО открывались отвлекающие легитимные документы, например, постановление, листовка ЦИК или указ Президента РФ. Сервис-сокращатель T.LY использовался для придания ссылкам на вредонос правдоподобного вида.


Все вредоносные файлы, использованные злоумышленниками в рамках кампании, имели схожие функциональные особенности.

После открытия жертвой вредоносного файла осуществляется создание папки %AppData%MicrosoftEdgeUpdate, после чего из ресурса Resources.MicrosoftEdgeUpdate в нее записывается файл MicrosoftEdgeUpdate.exe.

Для обеспечения персистентности в скомпрометированной системе осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll. Это легитимная библиотека, позволяющая создавать задачи в планировщике без непосредственного выполнения schtasks. Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore. Созданная задача выполняется каждые 60 минут после запуска.


Стилер осуществлял сбор следующих файлов:

  • файлы конфигурации мессенджера Telegram из %AppData%Telegram Desktop data;
  • базы данных паролей, куки, истории браузера, популярных сайтов, сохраненных страниц и конфигурации из следующих браузеров: Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, Edge Chromium, Torch, Amigo, CocCoc, Comodo Dragon, Epic Privacy Browser, Elements Browser, CentBrowser, 360 Chrome, 360 Browser;
  • файлы, являющиеся журналами использования PowerShell и находящиеся в %AppData%MicrosoftWindowsPowerShellPSReadLine;
  • файлы конфигурации FileZilla и SSH.

Больше индикаторов компрометации, а также детальное описание тактик, техник и процедур данного кластера активности доступно на портале компании .