蓝宝石狼人黑客监视俄罗斯教育、国防和航空航天工业

研究人员发现，一个名为“蓝宝石狼人”的黑客组织在过去三个月内利用紫水晶信息窃取程序攻击了 300 多家俄罗斯公司。

该组织的目标包括俄罗斯的教育、制造业、科技、国防和航空航天工程行业。目前尚不清楚该组织背后的组织者是谁，以及该组织是否受到政府支持或出于经济动机。

俄罗斯网络公司 BI.ZONE自 3 月以来一直在跟踪Sapphire Werewolf 的活动（https://bi-zone.medium.com/sapphire-werewolf-polishes-amethyst-stealer-to-attack-over-300-companies-b547e8b76109）。

研究人员称，该组织的 Amethyst 工具是开源 SapphireStealer 的一个分支。

一旦进入系统，Amethyst 可以收集 Telegram 配置文件、密码和 cookie 数据库、浏览器和热门网站历史记录、从浏览器保存的页面和配置以及 PowerShell 日志。

黑客通过伪装成官方命令的网络钓鱼电子邮件将恶意软件传送到受害者的设备，这些命令包括来自中央选举委员会甚至俄罗斯总统弗拉基米尔·普京的命令。

目前尚不清楚 Sapphire Werewolf 的活动效果如何，也不清楚他们如何使用所获得的数据。研究人员注意到，该组织的恶意软件已经进化。就在三个月前，窃取者还“没有任何机制可以在受感染的系统中实现持久性”，而且只收集了“一组有限的数据”。

由于西方公司在俄罗斯的知名度有限，有关俄罗斯境内网络攻击的报道很少，而且通常由当地网络公司独家发布。

本周早些时候，另一家俄罗斯公司 Positive Technologies（因向俄罗斯情报部门提供技术而受到美国制裁）发布了一份报告（https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/hellhounds-operation-lahat-part-2/），报告称一个名为 HellHounds 的受国家支持的组织使用 Decoy Dog 恶意软件攻击俄罗斯电力公司、科技企业、政府机构、航天工业和电信提供商。

新闻链接：https://therecord.media/sapphire-werewolf-spying-russia-infostealer

讲述普通人能听懂的安全故事