اكتشف باحثو ESET نسخة محدثة من أداة تحميل البرامج الضارة المستخدمة في هجمات Industroyer2 و CaddyWiper
الديدان الرمليةتواصل مجموعة APT التي تقف وراء بعض الهجمات الإلكترونية الأكثر تخريبًا في العالم ، تحديث ترسانتها للحملات التي تستهدف أوكرانيا.
اكتشف فريق بحث ESET الآن إصدارًا محدثًا من أداة تحميل البرامج الضارة ArguePatch التي تم استخدامها في ملف إندوسترويير 2 هجوم ضد مزود طاقة أوكراني وفي هجمات متعددة تتضمن برامج ضارة لمسح البيانات تسمى CaddyWiper.
البديل الجديد من ArguePatch - الذي أطلق عليه فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA) واكتشفته منتجات ESET باسم Win32 / Agent.AEGY - يتضمن الآن ميزة لتنفيذ المرحلة التالية من الهجوم في وقت محدد. هذا يتجاوز الحاجة إلى إعداد مهمة مجدولة في Windows ومن المحتمل أن يساعد المهاجمين على البقاء تحت الرادار.
# يكسر # دودة الرمل تواصل الهجمات في أوكرانيا 🇺🇦. #ESETresearch وجدت تطورًا في أداة تحميل البرامج الضارة المستخدمة خلال # الصناعة 2 الهجمات. هذه القطعة المحدثة من اللغز عبارة عن برنامج ضار _CERT_UA المكالمات #ArguePatch. تم استخدام ArguePatch للإطلاق # كاديويبر. # حرب_أوكرانيا 1/6 pic.twitter.com/y3muhtjps6
- بحث ESET (ESETresearch) 20 مايو 2022
هناك اختلاف آخر بين المتغيرين المتشابهين للغاية وهو أن التكرار الجديد يستخدم ملف ESET قابل للتنفيذ رسميًا لإخفاء ArguePatch ، مع إزالة التوقيع الرقمي والكتابة فوق الرمز. وفي الوقت نفسه ، استفاد هجوم Industroyer2 من نسخة مصححة من خادم تصحيح الأخطاء عن بُعد الخاص بـ HexRays IDA Pro.
يعتمد الاكتشاف الأخير على سلسلة من الاكتشافات التي قام بها باحثو ESET منذ ما قبل الغزو الروسي لأوكرانيا. في 23 فبرايرrd، تم اختيار القياس عن بعد لـ ESET ممسحة محكم على شبكات عدد من المنظمات الأوكرانية رفيعة المستوى. استفادت الحملات أيضًا من HermeticWizard ، وهو دودة مخصصة تُستخدم لنشر HermeticWiper داخل الشبكات المحلية ، و HermeticRansom ، الذي كان بمثابة خدعة فدية. في اليوم التالي ، بدأ هجوم مدمر ثان ضد شبكة حكومية أوكرانية ، وانتشر هذه المرة IsaacWiper.
في منتصف شهر مارس ، كشفت ESET عن CaddyWiper على عدة عشرات من الأنظمة في عدد محدود من المنظمات الأوكرانية. الأهم من ذلك ، أدى تعاون ESET مع CERT-UA إلى اكتشاف هجوم مخطط له يشمل Industroyer2 ، والذي كان من المقرر إطلاقه على شركة طاقة أوكرانية في أبريل.
IoCs لمتغير ArguePatch الجديد:
اسم الملف: eset_ssl_filtered_cert_importer.exe
تجزئة SHA-1: 796362BD0304E305AD120576B6A8FB6721108752
اسم اكتشاف ESET: Win32 / Agent.AEGY
- سلسلة كتلة
- عملة عبقرية
- محافظ cryptocurrency
- cryptoexchange
- الأمن الإلكتروني
- مجرمو الإنترنت
- الأمن السيبراني
- وزارة الأمن الداخلي
- محافظ رقمية
- جدار الحماية
- Kaspersky
- البرمجيات الخبيثة
- مكافي
- NexBLOC
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- أزمة أوكرانيا - مركز موارد الأمن الرقمي
- VPN
- نحن نعيش الأمن
- أمن الانترنت
- زفيرنت
