Половина кибергруппировок, атакующих российскую энергетику, нацелена на шпионаж

За последние месяцы уже второй шпионский кластер — Sapphire Werewolf — маскирует фишинг под письма от рекрутеров. На этот раз потенциальными жертвами стали компании ТЭК

8 апреля 2025 г.

Обычно такой почерк нехарактерен для подобных группировок. Чаще всего кибершпионы пишут потенциальным жертвам от имени регуляторов и других государственных структур.

По данным Threat Zone 2025 — годового исследования ландшафта киберугроз России и других стран СНГ, в 2024 году энергетика вошла в топ‑10 наиболее атакуемых отраслей. Из всех группировок, атакующих компании ТЭК, более половины нацелены на шпионаж.

Обычно кластеры активности, действующие в целях шпионажа, маскируются под рекрутеров крайне редко: менее чем в 1% всех случаев. Как правило, кибершпионы предпочитают писать жертвам от лица регуляторов и других государственных организаций. Однако нынешняя кампания Sapphire Werewolf — уже вторая за короткое время, когда шпионы притворяются HR‑специалистами. В конце 2024 года то же самое сделала группировка Sqiud Werewolf, предложив в фишинговом письме высокооплачиваемую работу.

В феврале 2025 года мы обнаружили новую кампанию уже известного кластера Sapphire Werewolf, нацеленного на шпионаж. В этот раз злоумышленники попытались проникнуть в IT-инфраструктуру энергетической компании для скрытого сбора данных. Рассылая фишинговые письма под видом служебных записок от отдела кадров, они доставляли на компьютер жертвы усовершенствованную версию стилера Amethyst. С его помощью злоумышленники могли извлечь аутентификационные данные из Telegram, браузеров, файлы конфигурации удаленных рабочих столов и различные типы документов.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Это не первая кампания группировки Sapphire Werewolf. В 2024 году кластер атаковал российские организации из сфер образования, IT, ВПК и аэрокосмической отрасли, используя для кражи данных модифицированное ВПО SapphireStealer. Новая кампания отличается тем, что группировка добавила в инструмент многочисленные проверки выполнения кода в виртуальной среде и симметричный алгоритм шифрования Triple DES, чтобы затруднить анализ вредоносного кода. Это позволяет злоумышленникам эффективнее обходить СЗИ.

Как и другие кластеры, Sapphire Werewolf получает первоначальный доступ в инфраструктуру жертвы с помощью фишинговых писем. Защититься от них позволяют сервисы фильтрации нежелательной почты. Например, решение BI.ZONE Mail Security обладает высокопроизводительным ядром нашей разработки и совмещает разные методы анализа email‑трафика.

А чтобы эффективно строить защиту организации, нужно быть в курсе методов и инструментов, используемых злоумышленниками. Для этого подходит портал BI.ZONE Threat Intelligence, который предоставляет подробную информацию об актуальном ландшафте киберугроз, включая сведения с теневых ресурсов. Эти данные помогают проактивно защитить компанию и ускорить реагирование на киберинциденты.