网络安全专家发现,被称为"蓝宝石狼"(Sapphire Werewolf)的威胁组织正在使用升级版"紫水晶"(Amethyst)窃密软件,对能源行业企业发起复杂攻击活动。此次攻击标志着该组织能力显著提升,采用了先进的规避技术和扩展的数据窃取功能。这类恶意软件部署属于全球关键基础设施目标遭受日益复杂攻击的广泛模式之一。
钓鱼邮件仍是主要攻击媒介
攻击初始载体与蓝宝石狼过往活动一致,采用伪装成人力资源部门正式通知的钓鱼邮件。
恶意附件以名为"записка.rar"的RAR压缩包形式出现,内含使用PDF图标伪装的可执行文件。执行后,初始加载器会解压并部署主紫水晶窃密程序,该程序采用.NET Reactor混淆技术保护,可规避常见安全工具的检测。BI.ZONE研究人员于2025年4月9日发现此次攻击活动,指出威胁行为者已显著优化其工具包。
多阶段感染流程规避检测
该恶意软件采用复杂的多阶段感染流程:首先通过Assembly.Load()和Invoke()方法将Base64编码的PE文件加载到内存中,避免将恶意负载写入磁盘而被安全解决方案检测。
紫水晶窃密程序主要功能是窃取凭证,目标包括Telegram及Chrome、Opera、Yandex、Brave和Edge等多款浏览器的认证数据。其附加功能还能提取SSH配置文件、远程桌面设置和VPN客户端凭证,为攻击者提供维持对受感染网络持久访问的多种途径。
高级虚拟机检测机制
新版紫水晶的突出特点是配备全面的虚拟机检测机制,可阻止分析人员研究。恶意软件采用多种技术识别虚拟环境,包括检查VirtualBox特定文件描述符,如下列代码所示:
public static bool CheckVirtualDevice() { bool result; try { using (File.Open("\\\\.\\VBoxMiniRdrDN", FileMode.Open, FileAccess.Read, FileShare.Read)) { result = true; } } catch { result = false; } return result;
}
该恶意软件还通过WMI查询扩展其规避能力,检查硬件特征(包括处理器制造商详情、主板信息、BIOS序列号和磁盘型号数据)。若检测到虚拟化环境,恶意软件会改变行为模式,避免向安全研究人员展示完整功能。
此外,紫水晶采用三重DES对称加密进行字符串混淆,对函数调用中使用的几乎所有字符串参数单独加密,而非加密整个代码块。该技术极大增加了安全工具进行静态分析的难度。
凭证窃取完成后,恶意软件会先在本地暂存数据,再通过Telegram渠道外传,为攻击者提供便捷且难以阻断的命令控制基础设施。
