Более 300 кибератак за 3 месяца: Sapphire Werewolf нацелилась на важнейшие сектора России

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Хакеры разработали собственное вредоносное ПО на основе SapphireStealer с открытым исходным кодом.

Компания BI.ZONE предупредила об активности хакерской группировки Sapphire Werewolf, которая проводит кибератаки против российских организаций с начала марта 2024 года. За этот период злоумышленники инициировали более 300 атак, нацеленных на кражу данных в сферах образования, IT, оборонно-промышленного комплекса и аэрокосмической отрасли.

Для проникновения в корпоративные сети хакеры рассылали жертвам фишинговые письма со ссылками, созданными с помощью сервиса-сокращателя T.LY. Эти ссылки вели на вредоносные файлы, замаскированные под псевдоофициальные документы. При их открытии на зараженных компьютерах устанавливалась вредоносная программа-стилер Amethyst для кражи данных.

Для повышения достоверности атаки параллельно с загрузкой вредоносного ПО открывались отвлекающие легитимные документы, например, постановление, листовка ЦИК или указ Президента РФ. Сервис-сокращатель T.LY использовался для придания ссылкам на вредонос правдоподобного вида.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Все вредоносные файлы, использованные злоумышленниками в рамках кампании, имели схожие функциональные особенности.

После открытия жертвой вредоносного файла осуществляется создание папки %AppData%MicrosoftEdgeUpdate, после чего из ресурса Resources.MicrosoftEdgeUpdate в нее записывается файл MicrosoftEdgeUpdate.exe.

Для обеспечения персистентности в скомпрометированной системе осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll. Это легитимная библиотека, позволяющая создавать задачи в планировщике без непосредственного выполнения schtasks. Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore. Созданная задача выполняется каждые 60 минут после запуска.

Стилер осуществлял сбор следующих файлов:

  • файлы конфигурации мессенджера Telegram из %AppData%Telegram Desktoptdata;
  • базы данных паролей, куки, истории браузера, популярных сайтов, сохраненных страниц и конфигурации из следующих браузеров: Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, Edge Chromium, Torch, Amigo, CocCoc, Comodo Dragon, Epic Privacy Browser, Elements Browser, CentBrowser, 360 Chrome, 360 Browser;
  • файлы, являющиеся журналами использования PowerShell и находящиеся в %AppData%MicrosoftWindowsPowerShellPSReadLine;
  • файлы конфигурации FileZilla и SSH.
  Извинения с капелькой яда: Qilin и политическая спекуляция на жизнях британцев

Больше индикаторов компрометации, а также детальное описание тактик, техник и процедур данного кластера активности доступно на портале компании .

Кодовое слово дня — безопасность.

Узнай больше — подпишись на нас!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий