2025年4月9日，俄罗斯BI.ZONE 威胁情报团队披露了APT组织Sapphire Werewolf的最新活动。其最近的调查结果表明，攻击者一直在使用更新的 Amethyst 窃取工具，这是一款通过网络钓鱼邮件传播的开源恶意软件。此次攻击的目标是能源公司。

// 关键发现

▷Sapphire Werewolf正在改进自己的工具，以便更有效地绕过安全解决方案。

▷最新版本的 Amethyst 窃取工具具有针对虚拟化环境的高级检测功能，并采用三重DES 算法对字符串进行加密。

▷通过利用凭证，攻击者可以渗透到各种信息系统中，获取敏感数据。

Sapphire Werewolf 冒充人力资源代表，将恶意附件伪装成官方备忘录并将其发送给受害者。

这封邮件包含一个备忘录的RAR存档文件，其中包含一个带有伪造PDF图标的可执行文件。这是一个基于C# 的恶意软件，受.NET Reactor保护。恶意文件是一个.NET加载器，携带一个Base64编码的有效载荷（PE文件）。

该 PE 文件是 Amethyst 窃取工具，同样受 .NET Reactor 保护。与之前分析过的该恶意软件的实例类似，新的样本将恶意文件下载到DotNetZip.dll辅助库内存（Ionic 的 Zip 库1.16版本）中进行文件压缩。然后，它将系统数据（包括IP地址以及一个表示该机器是否为虚拟机的字符串发送到以下地址：

hxxp://canarytokens[.]com/traffic/tags/static/xjemqlqirwqru9pkrh3j4ztmf/payments.js。

Amethyst 窃取工具还利用其资源来提取并执行诱饵 PDF 格式文档。

// 更新后的 Amethyst 窃取工具具有以下特殊功能

1. 对虚拟机环境进行高级检查，使恶意软件能够：

• 尝试检索获取特定于 VirtualBox虚拟机的文件描述符

•  检查VMware Tools使用的注册表项

• 通过WMI检查硬件制造商和型号

• 检查处理器制造商

•  检查主板制造商和BIOS详细信息

• 检查磁盘型号和ID

• 检查可移动存储设备

• 检查Windows服务名称

•  检查虚拟机关联注册表项的上次修改时间

• 利用WMI收集有关被感染系统的大量数据

2. 值得注意的是，更新后的窃取工具使用了三重DES对称算法。然而，与对代码整体进行加密的.NET 加载器不同，三重 DES几乎覆盖了恶意软件调用的函数参数中每一个字符串。

// Amethyst窃取工具可以检索以下信息

1. Telegram和各种浏览器（包括Chrome、Opera、Yandex、Brave、Orbitum、Atom、Kometa和Edge Chromium）的登录凭证，以及FileZilla和SSH配置文件。

2. 来自远程桌面和VPN客户端中的配置文件。

3. 各种类型的文件，包括存储在可移动介质中的文件。

// Sapphire Werewolf网络攻击技术和行为总结

// 检测

监控与以下内容相关的可疑活动：

1. 从%Temp%文件夹运行可疑的可执行文件。

2. 从不常使用的文件夹中运行类似于系统文件的可执行文件。

3. 创建非典型的计划任务。

4. 通过异常进程打开敏感文件。

5. 访问外部的IP地址解析器。

引用链接

[1]https://bi.zone/eng/expertise/blog/kamen-ogranennyy-sapphire-werewolf-ispolzuet-novuyu-versiyu-amethyst-stealer-dlya-atak-na-tek/