Οι ερευνητές της ESET εντόπισαν μια ενημερωμένη έκδοση του προγράμματος φόρτωσης κακόβουλου λογισμικού που χρησιμοποιείται στις επιθέσεις Industroyer2 και CaddyWiper
Sandworm, η ομάδα APT πίσω από μερικές από τις πιο ενοχλητικές κυβερνοεπιθέσεις στον κόσμο, συνεχίζει να ενημερώνει το οπλοστάσιό της για εκστρατείες που στοχεύουν την Ουκρανία.
Η ερευνητική ομάδα της ESET εντόπισε τώρα μια ενημερωμένη έκδοση του προγράμματος φόρτωσης κακόβουλου λογισμικού ArguePatch που χρησιμοποιήθηκε στο Βιομηχανικός 2 επίθεση εναντίον ενός ουκρανικού παρόχου ενέργειας και σε πολλαπλές επιθέσεις που περιλαμβάνουν κακόβουλο λογισμικό σκουπίσματος δεδομένων CaddyWiper.
Η νέα παραλλαγή του ArguePatch – που ονομάστηκε έτσι από την Computer Emergency Response Team of Ukraine (CERT-UA) και εντοπίστηκε από τα προϊόντα της ESET ως Win32/Agent.AEGY – περιλαμβάνει πλέον μια δυνατότητα εκτέλεσης του επόμενου σταδίου μιας επίθεσης σε καθορισμένο χρόνο. Αυτό παρακάμπτει την ανάγκη ρύθμισης μιας προγραμματισμένης εργασίας στα Windows και πιθανότατα προορίζεται να βοηθήσει τους επιτιθέμενους να παραμείνουν υπό το ραντάρ.
# ΤΕΛΕΥΤΑΙΑ #Αμμοσκώληκα Συνεχίζονται οι επιθέσεις στην Ουκρανία 🇺🇦. #ESETresearch βρήκε μια εξέλιξη ενός φορτωτή κακόβουλου λογισμικού που χρησιμοποιήθηκε κατά τη διάρκεια του #Industroyer2 επιθέσεις. Αυτό το ενημερωμένο κομμάτι του παζλ είναι κακόβουλο λογισμικό @_CERT_UA κλήσεις #ArguePatch. Το ArguePatch χρησιμοποιήθηκε για την εκκίνηση #CaddyWiper. #WarInUkraine 1/6 pic.twitter.com/y3muhtjps6
- Έρευνα ESET (@ESETresearch) 20 Μαΐου 2022
Μια άλλη διαφορά μεταξύ των δύο κατά τα άλλα πολύ όμοιων παραλλαγών είναι ότι η νέα επανάληψη χρησιμοποιεί ένα επίσημο εκτελέσιμο ESET για την απόκρυψη του ArguePatch, με την ψηφιακή υπογραφή να έχει αφαιρεθεί και τον κώδικα να αντικαθίσταται. Η επίθεση Industroyer2, εν τω μεταξύ, αξιοποίησε μια επιδιορθωμένη έκδοση του απομακρυσμένου διακομιστή εντοπισμού σφαλμάτων του HexRays IDA Pro.
Το πιο πρόσφατο εύρημα βασίζεται σε μια σειρά ανακαλύψεων που έχουν κάνει οι ερευνητές της ESET λίγο πριν από την εισβολή της Ρωσίας στην Ουκρανία. Στις 23 Φεβρουαρίουrd, η τηλεμετρία της ESET έπιασε Ερμητικός Υαλοκαθαριστήρας στα δίκτυα ορισμένων ουκρανικών οργανώσεων υψηλού προφίλ. Οι καμπάνιες αξιοποίησαν επίσης το HermeticWizard, ένα προσαρμοσμένο worm που χρησιμοποιείται για τη διάδοση του HermeticWiper μέσα σε τοπικά δίκτυα, και το HermeticRansom, το οποίο λειτουργούσε ως δόλωμα ransomware. Την επόμενη μέρα, ξεκίνησε μια δεύτερη καταστροφική επίθεση εναντίον ενός ουκρανικού κυβερνητικού δικτύου, αυτή τη φορά με ανάπτυξη IsaacWiper.
Στα μέσα Μαρτίου, η ESET αποκάλυψε το CaddyWiper σε πολλές δεκάδες συστήματα σε περιορισμένο αριθμό ουκρανικών οργανισμών. Είναι σημαντικό ότι η συνεργασία της ESET με την CERT-UA οδήγησε στην ανακάλυψη μιας προγραμματισμένης επίθεσης στην οποία εμπλέκεται η Industroyer2, η οποία προοριζόταν να εξαπολυθεί σε μια ουκρανική εταιρεία ηλεκτρικής ενέργειας τον Απρίλιο.
IoC για τη νέα παραλλαγή ArguePatch:
Όνομα αρχείου: eset_ssl_filtered_cert_importer.exe
Κατακερματισμός SHA-1: 796362BD0304E305AD120576B6A8FB6721108752
Όνομα ανίχνευσης ESET: Win32/Agent.AEGY
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- Κρίση της Ουκρανίας – Κέντρο Πόρων Ψηφιακής Ασφάλειας
- VPN
- Ζούμε Ασφάλεια
- ιστοσελίδα της ασφάλειας
- zephyrnet
