Ресерчеры
BI.ZONE сообщают об активности
Sapphire Werewolf, которая модифицировала опенсорс-стилер для проведения новых атак в целях кибершпионажа.
Начиная с марта 2024 года
Sapphire Werewolf реализовала уже более 300 атак на российские организации в сфере образования, промышленности, ИТ, ВПК и космоса с использованием стилера
Amethyst, который злоумышленники разработали на основе программы с открытым исходным кодом -
SapphireStealer.
Атакующие распространяли вредоносное ПО с помощью фишинговых электронных писем со ссылками в формате t[.]ly под видом постановления о возбуждении исполнительного производства, информационного бюллетеня
ЦИК, а также указа
Президента РФ.
После открытия вредоносного файла осуществляется создание папки %AppData%\Microsoft\EdgeUpdate, из Resources.MicrosoftEdgeUpdate в нее записывается MicrosoftEdgeUpdate.exe. Попутно производится запись отвлекающего документа в текущую директорию и его открытие.
Для обеспечения персистентности в системе жертвы осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll.
Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore.
После закрепления осуществляется запись стилера
Amethyst (в файл VPN.exe во временной папке данных) и его запуск, сопровождающийся изменением зоны безопасности исполняемого потока на MyComputer, а также созданием асинхронной задачи, которая впоследствии отправит собранные файлы на С2.
Собранные файлы сохраняются в папку, названием которой является строка, сгенерированная с помощью UUID. Папка находится в каталоге с временными файлами.
Стиллер собирает файлы конфигурации мессенджера
Telegram, файлы с различными расширениями и с внешних носителей, данные из браузеров
(Chrome, Opera, Yandex, Brave, Edge и др.), а также журналы использования
PowerShell и конфиги
FileZilla и SSH.
Собранные материалы помещаются в архив и отправляются на С2, а в последних версиях при создании архива используется пароль и добавляется комментарий с данными по хосту.
Роль командного сервера для отправки архива выполнял бот в
Telegram, токен которого, как и идентификатор пользователя, находился в ПО.
При этом злоумышленники в код разных версий ВПО указывали не один, а сразу несколько токенов и идентификаторов пользователя. Если главный бот или основной клиент были недоступны, вредоносное ПО обращалось к другим.
IOCs и рекомендации по обнаружению вредоносной активности - в
отчете.