BI.ZONE Threat Intelligence отслеживает кластер активности, известный как Sapphire Werewolf, с марта 2024 года. Этот кластер совершил более 300 атак, направленных на организации различных секторов, включая образование, промышленность, информационные технологии, военно-промышленный комплекс и аэрокосмическую отрасль. Злоумышленники использовали вредоносное ПО под названием Amethyst styler, которое представляет собой модифицированную версию программы с открытым исходным кодом SapphireStealer. Вредоносная программа была замаскирована под исполнительные распоряжения, листовки ЦИК и указы президента и распространялась через фишинговые электронные письма со ссылками, созданными с помощью сервиса сокращения T.LY.
Sapphire Werewolf
Основные результаты расследования показывают, что злоумышленники, мотивированные шпионажем, все чаще используют стиллеры для получения доступа к материалам для аутентификации. Кроме того, злоумышленникам не обязательно создавать вредоносное ПО с нуля - они могут использовать коммерческие варианты или проекты с открытым исходным кодом. Кроме того, использование релевантных тем и подбор отвлекающих документов к именам вредоносных файлов повышает эффективность доставки вредоносного ПО.
Вредоносные файлы, использовавшиеся в кампании, имели схожий функционал. Когда жертва открывает файл, в каталоге %AppData%\Microsoft\EdgeUpdate создается папка, в которую записывается файл MicrosoftEdgeUpdate.exe. Чтобы обеспечить постоянство, в планировщике создается задача с помощью библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll, которая скрыта в исполняемом файле. Задача выполняется каждые 60 минут после запуска. Также в текущую директорию записывается и открывается отвлекающий документ.
Затем в папку временных данных записывается стайлер Amethyst под именем VPN.exe и выполняется. По завершении работы программы активируется триггер, удаляющий текущий исполняемый файл. Стилизатор Amethyst основан на вредоносной программе с открытым исходным кодом SapphireStealer.
После запуска стилер изменяет зону безопасности исполняемого потока на MyComputer и создает задачу для отправки собранных файлов на командно-контрольный сервер. Стилизатор собирает различные файлы, включая файлы конфигурации мессенджера Telegram, базы данных, связанные с браузером, файлы журналов PowerShell, файлы конфигурации FileZilla и SSH. Эти файлы архивируются и отправляются на командный сервер.
Кроме того, стилер собирает файлы с определенными расширениями из каталога %UserProfile%\Downloads\Telegram Desktop и внешних носителей. Эти файлы также архивируются и отправляются на сервер управления. Последние версии стиллера используют пароль, находящийся в памяти программы, для шифрования архивов и добавляют комментарий, содержащий внешний IP-адрес, внутренний IP-адрес и имя устройства.
В целом кластер Sapphire Werewolf использует стиллер Amethyst для проведения целевых атак в нескольких секторах. Для доставки вредоносных файлов злоумышленники используют различные тактики, такие как маскировка вредоносного ПО и использование фишинговых писем. Стилизатор собирает конфиденциальные файлы и отправляет их на командно-контрольные серверы для дальнейшего анализа и эксплуатации. Осознание этих тактик и применение надежных мер безопасности играют решающую роль в снижении рисков, связанных с такими атаками.
Indicators of Compromise
SHA256
- 204bcbb030856bfbd7f4b5edad94e17e61a3d44cde88dbcf4f6a30adb786d1a6
- 301d00aeae52011530370dcf32d0b68ebdcec291d94501b90a44dcc9a714e595
- 5c01531a6b7f25b92e9a2d0d67fe7057813140d2c60dc0bb356b190aa91a5857
