Это уже второй случай за последние месяцы, когда шпионская группа притворяется HR-специалистами, рассылая фишинговые письма. На этот раз они нацелились на компании из топливно-энергетического комплекса, выдавая себя за рекрутеров. Согласно исследованию Threat Zone 2025, энергетика является одной из самых атакуемых отраслей в странах СНГ, и за прошлый год в её адрес было совершено множество атак, более половины которых связаны с шпионажем. Атаки, прикидывающиеся рекрутерами, крайне редки, составляя менее 1% всех атак, в то время как кибершпионы обычно используют маскировку под госорганы или регуляторов. Однако ситуация изменилась.
В конце 2024 года схожую фишинговую схему использовала группа Squid Werewolf, рассылка писем с предложениями «выгодных вакансий», а теперь свою кампанию развернула и Sapphire Werewolf. В феврале 2025 года компания BI.ZONE зафиксировала новую атаку этой группы, где под видом HR-службы злоумышленники пытались проникнуть в ИТ-инфраструктуру энергетической компании. Письма содержали усовершенствованную версию стилера Amethyst, позволяющую воровать логины, пароли, данные из Telegram, браузеров, конфигурации RDP и различные документы.
Это далеко не первый случай активности Sapphire Werewolf. В 2024 году группа атаковала российские организации в сферах образования, ИТ, ВПК и аэрокосмоса, используя свой инструмент SapphireStealer. В новой атаке они использовали более продвинутую версию этого инструмента, добавив проверки на работу в виртуальных средах и шифрование Triple DES, чтобы усложнить анализ. Это делает вредоносное ПО более опасным и эффективным в обходе защитных систем. Как и большинство подобных групп, Sapphire Werewolf проникают в организации через фишинговые письма, поэтому хорошая почтовая фильтрация является важной первой линией обороны.
В конце 2024 года схожую фишинговую схему использовала группа Squid Werewolf, рассылка писем с предложениями «выгодных вакансий», а теперь свою кампанию развернула и Sapphire Werewolf. В феврале 2025 года компания BI.ZONE зафиксировала новую атаку этой группы, где под видом HR-службы злоумышленники пытались проникнуть в ИТ-инфраструктуру энергетической компании. Письма содержали усовершенствованную версию стилера Amethyst, позволяющую воровать логины, пароли, данные из Telegram, браузеров, конфигурации RDP и различные документы.
Это далеко не первый случай активности Sapphire Werewolf. В 2024 году группа атаковала российские организации в сферах образования, ИТ, ВПК и аэрокосмоса, используя свой инструмент SapphireStealer. В новой атаке они использовали более продвинутую версию этого инструмента, добавив проверки на работу в виртуальных средах и шифрование Triple DES, чтобы усложнить анализ. Это делает вредоносное ПО более опасным и эффективным в обходе защитных систем. Как и большинство подобных групп, Sapphire Werewolf проникают в организации через фишинговые письма, поэтому хорошая почтовая фильтрация является важной первой линией обороны.
