Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Amethyst stealer: новые угрозы от киберкластера Sapphire Werewolf

1
3 мин
Эксперты в области кибербезопасности обнаружили, что группа Sapphire Werewolf обновила инструментарий, внедрив продвинутую версию вредоносной программы Amethyst stealer. Новая версия активно распространяется с помощью фишинговых электронных писем, замаскированных под официальные сообщения, что значительно повышает опасность подобных атак для организаций и частных пользователей. Атакующие рассылают вредоносные вложения под видом служебных записок от отдела кадров. В этих письмах содержится исполняемый файл, который визуально представлен как PDF-документ — именно такая маскировка способствует обману жертв. Фактически этот файл является .NET загрузчиком, в котором спрятана полезная нагрузка в кодировке Base64 — собственно похититель данных Amethyst stealer. Для повышения устойчивости к анализу и защите от обнаружения программа использует следующие технологии: Одной из ключевых особенностей новой версии является внедрение многочисленных проверок для выявления виртуализированной среды (virt
Оглавление
Источник: bi.zone
Источник: bi.zone

Кластер Sapphire Werewolf представляет усовершенствованную версию Amethyst stealer

Эксперты в области кибербезопасности обнаружили, что группа Sapphire Werewolf обновила инструментарий, внедрив продвинутую версию вредоносной программы Amethyst stealer. Новая версия активно распространяется с помощью фишинговых электронных писем, замаскированных под официальные сообщения, что значительно повышает опасность подобных атак для организаций и частных пользователей.

Механизм заражения: поддельные служебные записки и маскировка

Атакующие рассылают вредоносные вложения под видом служебных записок от отдела кадров. В этих письмах содержится исполняемый файл, который визуально представлен как PDF-документ — именно такая маскировка способствует обману жертв.

Фактически этот файл является .NET загрузчиком, в котором спрятана полезная нагрузка в кодировке Base64 — собственно похититель данных Amethyst stealer. Для повышения устойчивости к анализу и защите от обнаружения программа использует следующие технологии:

  • шифрование с помощью .NET Reactor;
  • загрузка вредоносных файлов в память с использованием библиотеки компрессии DotNetZip.dll (Zip-библиотека Ionic версии 1.16).

Сложные антивиртуальные проверки для обхода систем безопасности

Одной из ключевых особенностей новой версии является внедрение многочисленных проверок для выявления виртуализированной среды (virtual machines, ВМ). Это позволяет вредоносной программе избегать запуска в условиях, характерных для анализа и отладки. Среди использованных методов:

  • поиск файловых дескрипторов, уникальных для VirtualBox;
  • проверка записей реестра Windows, связанных с VMware;
  • сбор системной информации с помощью Windows Management Instrumentation (WMI);
  • анализ аппаратных особенностей — производителя и модели процессора, материнской платы, диска;
  • определение состояния подключаемых устройств и служб Windows.

Данный подход позволяет программе распознавать среду, в которой она запущена, и при обнаружении признаков анализа прекращать вредоносную активность, что значительно затрудняет её детекцию и расследование.

Шифрование и функции кражи конфиденциальных данных

Amethyst stealer отличается от классических .NET загрузчиков тем, что использует алгоритм симметричного шифрования Triple DES для маскировки своих рабочих строк, а не шифрует целые сегменты кода. Это позволяет злоумышленникам скрывать ключевые части вредоносного функционала и затрудняет анализ.

Вредоносная программа способна похищать разнообразные учетные данные и конфиденциальную информацию:

  • учетные данные из популярных веб-браузеров (Chrome, Opera, Edge Chromium);
  • конфиденциальные данные VPN-клиентов;
  • настройки и конфигурации удаленных рабочих столов;
  • различные типы документов, сохранённых на съемных носителях.

Взаимодействие с удалёнными сервисами и использование поддельных PDF-документов

Анализ сетевой активности показал, что Amethyst stealer обращается к ряду URL-адресов, включая сторонние сервисы, для извлечения или передачи собранных данных. Кроме того, специалисты из BI.ZONE Threat Intelligence отметили, что вредоносная программа способна извлекать и запускать поддельные PDF-документы, что повышает уровень маскировки и усложняет её обнаружение.

Рекомендации по защите

С учётом сложности и изощрённости методов, используемых Sapphire Werewolf, организациям рекомендуется усилить меры кибербезопасности. В частности:

  • внедрять комплексные решения по защите электронной почты;
  • использовать современные системы анализа и фильтрации входящего трафика;
  • повышать осведомленность сотрудников о методах социальной инженерии и фишинговых атаках;
  • применять стратегии мониторинга и анализа поведения для быстрого обнаружения новых угроз.

Развитие подобных атаки требует постоянного совершенствования защитных механизмов и внимания к последним тенденциям в киберугрозах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Amethyst stealer: новые угрозы от киберкластера Sapphire Werewolf".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются