Sapphire Werewolf, сезон второй: на этот раз — энергетика
ТЭК снова в топе… по количеству фишингов от HR-призраков.
По данным Threat Zone 2025 — годового исследования ландшафта киберугроз России и других стран СНГ, подготовленного компанией BI.ZONE, энергетика вошла в топ-10 наиболее атакуемых отраслей в 2024 году. Из всех группировок, атакующих ТЭК, более половины нацелены на шпионаж .
BI.ZONE отмечает, что кибершпионы продолжают использовать нехарактерные для себя методы атак. За последние месяцы уже второй шпионский кластер — Sapphire Werewolf — маскирует фишинг под письма от рекрутеров. На этот раз потенциальной жертвой стали компании топливно-энергетического комплекса.
Как уточняется, кластеры активности, действующие в целях шпионажа, крайне редко используют легенды HR — менее чем в 1% всех случаев. Обычно кибершпионы пишут от лица регуляторов и других государственных организаций. Однако текущая кампания Sapphire Werewolf — уже вторая за короткое время, когда злоумышленники притворяются сотрудниками отдела кадров. В конце 2024 года аналогичную технику применяла группировка Sqiud Werewolf, рассылая фишинговые письма с предложением высокооплачиваемой работы.
В BI.ZONE Threat Intelligence сообщили, что в феврале 2025 года была обнаружена новая кампания уже известного кластера Sapphire Werewolf, нацеленного на шпионаж. Злоумышленники пытались проникнуть в IT-инфраструктуру энергетической компании для скрытого сбора данных. Они рассылали фишинговые письма, замаскированные под служебные записки от отдела кадров, с вложением — усовершенствованной версии стилера Amethyst. С его помощью атакующие могли извлечь аутентификационные данные из Telegram, браузеров, файлы конфигураций удалённых рабочих столов и различные типы документов.
Это не первая кампания Sapphire Werewolf. В 2024 году группировка уже атаковала российские организации из сфер образования, IT, ВПК и аэрокосмической отрасли, используя модифицированное вредоносное ПО SapphireStealer. В новой атаке злоумышленники добавили в инструмент многочисленные проверки выполнения в виртуальной среде и симметричный алгоритм шифрования Triple DES, что затрудняет анализ вредоносного кода и позволяет обходить средства защиты.
Как и другие кластеры, Sapphire Werewolf получает первоначальный доступ в инфраструктуру жертвы через фишинговые письма.