Los investigadores de ESET detectan una versión actualizada del cargador de malware utilizado en los ataques Industroyer2 y CaddyWiper
Gusano de arena, el grupo APT detrás de algunos de los ataques cibernéticos más perturbadores del mundo, continúa actualizando su arsenal para campañas dirigidas a Ucrania.
El equipo de investigación de ESET ha detectado una versión actualizada del cargador de malware ArguePatch que se utilizó en el industrial2 ataque contra un proveedor de energía ucraniano y en múltiples ataques que involucran malware de borrado de datos llamado limpiaparabrisas.
La nueva variante de ArguePatch, denominada así por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y detectada por los productos de ESET como Win32/Agent.AEGY, ahora incluye una función para ejecutar la siguiente etapa de un ataque en un momento específico. Esto evita la necesidad de configurar una tarea programada en Windows y probablemente tiene la intención de ayudar a los atacantes a permanecer ocultos.
# ROMPIENDO #gusano de arena continúa los ataques en Ucrania 🇺🇦. #ESETinvestigación encontró una evolución de un cargador de malware utilizado durante la #Industrioyer2 ataques Esta pieza actualizada del rompecabezas es malware @_CERT_UA llamadas #ArguePatch. ArguePatch se utilizó para lanzar #CaddyWiper. #GuerraEnUcrania 1/6 pic.twitter.com/y3muhtjps6
- Investigación de ESET (@ESETresearch) 20 de mayo de 2022
Otra diferencia entre las dos variantes, por lo demás muy similares, es que la nueva iteración utiliza un ejecutable oficial de ESET para ocultar ArguePatch, con la firma digital eliminada y el código sobrescrito. Mientras tanto, el ataque Industroyer2 aprovechó una versión parcheada del servidor de depuración remota de HexRays IDA Pro.
El último hallazgo se basa en una serie de descubrimientos que los investigadores de ESET han realizado desde justo antes de la invasión rusa de Ucrania. el 23 de febrerord, la telemetría de ESET recogió Limpiaparabrisas hermético en las redes de varias organizaciones ucranianas de alto perfil. Las campañas también aprovecharon HermeticWizard, un gusano personalizado utilizado para propagar HermeticWiper dentro de las redes locales, y HermeticRansom, que actuó como ransomware señuelo. Al día siguiente, comenzó un segundo ataque destructivo contra una red gubernamental ucraniana, esta vez desplegando isaacwiper.
A mediados de marzo, ESET descubrió CaddyWiper en varias docenas de sistemas en un número limitado de organizaciones ucranianas. Es importante destacar que la colaboración de ESET con CERT-UA condujo al descubrimiento de un ataque planeado que involucraba a Industroyer2, que estaba destinado a ser desatado en una compañía eléctrica ucraniana en abril.
IoC para la nueva variante de ArguePatch:
Nombre del archivo: eset_ssl_filtered_cert_importer.exe
Hachís SHA-1: 796362BD0304E305AD120576B6A8FB6721108752
Nombre de detección de ESET: Win32/Agent.AEGY
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- Crisis de Ucrania - Centro de recursos de seguridad digital
- VPN
- Vivimos la seguridad
- seguridad del sitio web
- zephyrnet
