За последние месяцы уже второй шпионский кластер — Sapphire Werewolf — маскирует фишинг под письма от рекрутеров. На этот раз потенциальными жертвами стали компании ТЭК.
По данным Threat Zone 2025 — годового исследования ландшафта киберугроз России и других стран СНГ, в 2024 году энергетика вошла в топ-10 наиболее атакуемых отраслей. Из всех группировок, атакующих компании ТЭК, более половины нацелены на шпионаж.
Обычно кластеры активности, действующие в целях шпионажа, маскируются под рекрутеров крайне редко: менее чем в 1% всех случаев. Как правило, кибершпионы предпочитают писать жертвам от лица регуляторов и других государственных организаций. Однако нынешняя кампания Sapphire Werewolf — уже вторая за короткое время, когда шпионы притворяются HR-специалистами. В конце 2024 года то же самое сделала группировка Squid Werewolf, предложив в фишинговом письме высокооплачиваемую работу.
«В феврале 2025 года мы обнаружили новую кампанию уже известного кластера Sapphire Werewolf, нацеленного на шпионаж. В этот раз злоумышленники попытались проникнуть в ИТ-инфраструктуру энергетической компании для скрытого сбора данных. Рассылая фишинговые письма под видом служебных записок от отдела кадров, они доставляли на компьютер жертвы усовершенствованную версию стилера Amethyst. С его помощью злоумышленники могли извлечь аутентификационные данные из Telegram, браузеров, файлы конфигурации удаленных рабочих столов и различные типы документов.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence
Это не первая кампания группировки Sapphire Werewolf. В 2024 году кластер атаковал российские организации из сфер образования, ИТ, ВПК и аэрокосмической отрасли, используя для кражи данных модифицированное ВПО SapphireStealer. Новая кампания отличается тем, что группировка добавила в инструмент многочисленные проверки выполнения кода в виртуальной среде и симметричный алгоритм шифрования Triple DES, чтобы затруднить анализ вредоносного кода. Это позволяет злоумышленникам эффективнее обходить СЗИ.
Как и другие кластеры, Sapphire Werewolf получает первоначальный доступ в инфраструктуру жертвы с помощью фишинговых писем. Защититься от них позволяют сервисы фильтрации нежелательной почты.