Sandorm bruger en ny version af ArguePatch til at angribe mål i Ukraine

Genudgivet af Platon

Abonnenter: 0

ESET-forskere opdager en opdateret version af malware-indlæseren, der blev brugt i Industroyer2- og CaddyWiper-angrebene

sandworm, APT-gruppen bag nogle af verdens mest forstyrrende cyberangreb, fortsætter med at opdatere sit arsenal for kampagner rettet mod Ukraine.

ESETs forskningsteam har nu set en opdateret version af ArguePatch malware-indlæseren, der blev brugt i Industrimand 2 angreb mod en ukrainsk energileverandør og i flere angreb, der involverer datasletning, kaldet malware CaddyWiper.

Den nye variant af ArguePatch – navngivet af Ukraines Computer Emergency Response Team (CERT-UA) og registreret af ESET-produkter som Win32/Agent.AEGY – inkluderer nu en funktion til at udføre næste fase af et angreb på et bestemt tidspunkt. Dette omgår behovet for at konfigurere en planlagt opgave i Windows og er sandsynligvis beregnet til at hjælpe angriberne med at holde sig under radaren.

#BREAKING #Sandorm fortsætter angreb i Ukraine 🇺🇦. #ESETforskning fundet en udvikling af en malware-loader, der blev brugt under #Industriyer2 angreb. Denne opdaterede brik i puslespillet er malware @_CERT_UA opkald #ArguePatch. ArguePatch blev brugt til at starte #CaddyWiper. #Krig i Ukraine 1/6 pic.twitter.com/y3muhtjps6

— ESET-forskning (@ESETresearch) Maj 20, 2022

En anden forskel mellem de to ellers meget lignende varianter er, at den nye iteration bruger en officiel ESET eksekverbar til at skjule ArguePatch, med den digitale signatur fjernet og koden overskrevet. Industroyer2-angrebet udnyttede i mellemtiden en patchet version af HexRays IDA Pros fjernfejlfindingsserver.

Det seneste fund bygger på en række opdagelser, som ESET-forskere har gjort siden lige før Ruslands invasion af Ukraine. Den 23. februar^rd, ESET's telemetri opfangede Hermetisk Wiper på netværk af en række højtprofilerede ukrainske organisationer. Kampagnerne udnyttede også HermeticWizard, en tilpasset orm, der blev brugt til at udbrede HermeticWiper i lokale netværk, og HermeticRansom, der fungerede som lokkedue-ransomware. Den næste dag startede et andet destruktivt angreb mod et ukrainsk regeringsnetværk, denne gang i drift IsaacWiper.

I midten af marts afslørede ESET CaddyWiper på flere dusin systemer i et begrænset antal ukrainske organisationer. Det er vigtigt, at ESETs samarbejde med CERT-UA førte til opdagelsen af et planlagt angreb, der involverede Industroyer2, som var beregnet til at blive udløst på et ukrainsk elselskab i april.

IoC'er for den nye ArguePatch-variant:
Filename: eset_ssl_filtered_cert_importer.exe
SHA-1 hash: 796362BD0304E305AD120576B6A8FB6721108752
ESET-detektionsnavn: Win32/Agent.AEGY

Tidsstempel: Maj 20, 2022Juli 15, 2022

Tidsstempel: Jan 9, 2023

Sandworm bruger en ny version af ArguePatch til at angribe mål i Ukraine

Genudgivet af Platon

Mere fra Vi lever sikkerhed

Ransomware-betalinger ramte rekordhøje i 2023 – Uge i sikkerhed med Tony Anscombe

Introduktion af IPyIDA: Et Python-plugin til dit reverse-engineering-værktøjssæt

Nøgleindsigter fra ESETs seneste trusselrapport – Uge i sikkerhed med Tony Anscombe

Black Hat USA 2022: Udbrændthed, et væsentligt problem

RansomBoggs: Ny ransomware rettet mod Ukraine

På vej mod forkant: SMB'er, der overvejer virksomhedssikkerhed

Roundcube zero-day udnyttet i angreb på europæiske regeringer – Uge i sikkerhed med Tony Anscombe

Verdens mest almindelige adgangskoder: Hvad skal du gøre, hvis din er på listen

Om os

Vertikal søgning & Ai

perron

Stay Connected

Konto