Шпионская группировка Sapphire Werewolf нацелилась на компании ТЭК с помощью фишинга

Недавние исследования показывают, что шпионская группировка Sapphire Werewolf, активизировавшаяся в последние месяцы, использует фишинг, маскируя свои атаки под письма от рекрутеров. На этот раз потенциальными жертвами стали компании Топливно-энергетического комплекса (ТЭК)

Согласно данным годового исследования Threat Zone 2025, в 2024 году энергетика вошла в список самых атакуемых отраслей, при этом более половины атакующих группировок нацелены на шпионаж. Обычно кластеры, действующие в этой сфере, предпочитают использовать маскировку под регуляторов и госорганизации, однако Sapphire Werewolf уже стал вторым подобным случаем в последних месяцах после атак группировки Squid Werewolf.

В своем недавнем сообщении Олег Скулкин, руководитель Bi.Zone Threat Intelligence, отметил, что в феврале 2025 года была зарегистрирована новая кампания, нацеленная на шпионаж, в которой злоумышленники пытались проникнуть в ИТ-инфраструктуру энергетической компании. Атака происходила через фишинговые письма, выданные за служебные записки от отдела кадров, обеспечивая доставку усовершенствованной версии стилера Amethyst на компьютеры жертв.

Эта версия программного обеспечения позволяет злоумышленникам извлекать аутентификационные данные из популярных платформ и файлов конфигурации удаленных рабочих столов. Примечательно, что группа Sapphire Werewolf до этого также использовала модифицированное вредоносное ПО SapphireStealer для атак на организации в сферах образования, ИТ и аэрокосмической отрасли. Новые методы атак включают дополнительные проверки кода и сложные механизмы шифрования, что значительно усложняет задачу по анализу вредоносного ПО.

Как и другие кластеры, Sapphire Werewolf получает доступ к сетевой инфраструктуре с помощью фишинговых писем, и для защиты от таких атак эксперты рекомендуют использовать сервисы фильтрации нежелательной почты.

]]>