Группа Sapphire Werewolf переписала стилер с открытым кодом для слежки за российскими компаниями

В марте 2024 года группа хакеров под названием Sapphire Werewolf начала активную деятельность. За это время они осуществили более 300 атак на российские компании в сфере образования, информационных технологий, военно-промышленного комплекса и аэрокосмической промышленности. Об этом CNews сообщили представители Bi.Zone. Для кражи данных злоумышленники использовали сильно модифицированный инструмент с открытым исходным кодом.

Для проведения фишинговых атак злоумышленникам понадобилась помощь сервиса T. LY acronym. Пользователям было предложено загрузить официальные документы, но вместо этого они загрузили вредоносный файл, в котором был установлен Amethyst styler. Этот стилист собрал важную информацию со взломанного устройства, включая базы паролей, файлы cookie, историю браузера и другие данные, а затем отправил их Telegram-боту злоумышленников.

Согласно исследованию Threat Zone 2024, в 2023 году 15% всех атак на организации в России и странах СНГ были направлены на шпионаж, 76% - с финансовой мотивацией и 9%связаны с хактивизмом. Для выявления методов группировки Sapphire Werewolf и защиты от подобных атак необходимы решения класса endpoint detection and response, а также данные о текущих изменениях в киберпространстве, доступные через порталы threat intelligence.

]]>