ESET-tutkijat havaitsivat päivitetyn version Industroyer2- ja CaddyWiper-hyökkäyksissä käytetystä haittaohjelmalatausohjelmasta
Sandworm, APT-ryhmä, joka on joidenkin maailman häiritsevimpien kyberhyökkäysten takana, päivittää edelleen arsenaaliaan Ukrainaan kohdistetuissa kampanjoissa.
ESET-tutkimusryhmä on nyt havainnut päivitetyn version ArguePatch-haittaohjelmien latausohjelmasta, jota käytettiin Industroyer 2 hyökkäys ukrainalaista energiantoimittajaa vastaan ja useissa hyökkäyksissä, joihin liittyy tietojen pyyhkimiseen kutsuttuja haittaohjelmia CaddyWiper.
Uusi ArguePatch-versio, jonka Ukrainan Computer Emergency Response Team (CERT-UA) on nimennyt ja ESET-tuotteet havaitsivat nimellä Win32/Agent.AEGY, sisältää nyt ominaisuuden, joka suorittaa hyökkäyksen seuraavan vaiheen tiettyyn aikaan. Tämä ohittaa tarpeen määrittää ajoitettu tehtävä Windowsissa, ja sen tarkoitus on todennäköisesti auttaa hyökkääjiä pysymään tutkan alla.
#BREAKING #Hiekkamato jatkaa hyökkäyksiä Ukrainassa 🇺🇦. #ESETresearch havaitsi aikana käytetyn haittaohjelmalataimen evoluution #Industroyer2 hyökkäyksiä. Tämä päivitetty palapeli on haittaohjelma @_CERT_UA puhelut #ArguePatch. ArguePatch käytettiin käynnistämiseen #CaddyWiper. #SotaUkrainassa 1/6 pic.twitter.com/y3muhtjps6
- ESET-tutkimus (@ESETresearch) Voi 20, 2022
Toinen ero näiden kahden muuten hyvin samankaltaisen muunnelman välillä on se, että uusi iteraatio käyttää virallista ESET-suoritettavaa ArguePatchin piilottamiseen, jolloin digitaalinen allekirjoitus on poistettu ja koodi päällekirjoitettu. Industroyer2-hyökkäys puolestaan hyödynsi HexRays IDA Pron etädebug-palvelimen korjattua versiota.
Uusin löytö perustuu lukuisiin löytöihin, joita ESET-tutkijat ovat tehneet juuri ennen Venäjän hyökkäystä Ukrainaan. Helmikuun 23. päivänärd, ESETin telemetria nousi HermeticWiper useiden korkean profiilin ukrainalaisten organisaatioiden verkoissa. Kampanjoissa hyödynnettiin myös HermeticWizard-matoa, jota käytetään HermeticWiperin levittämiseen paikallisissa verkoissa, ja HermeticRansomia, joka toimi houkutuslunnasohjelmina. Seuraavana päivänä aloitettiin toinen tuhoisa hyökkäys Ukrainan hallituksen verkostoa vastaan, tällä kertaa toimien IsaacWiper.
Maaliskuun puolivälissä ESET paljasti CaddyWiperin useissa kymmenissä järjestelmissä rajoitetussa määrässä ukrainalaisia organisaatioita. Tärkeää on, että ESETin yhteistyö CERT-UA:n kanssa johti suunniteltuun Industroyer2-hyökkäykseen, joka oli tarkoitus päästää ukrainalaiseen sähköyhtiöön huhtikuussa.
IoC:t uudelle ArguePatch-versiolle:
Tiedoston nimi: eset_ssl_filtered_cert_importer.exe
SHA-1 hash: 796362BD0304E305AD120576B6A8FB6721108752
ESET-tunnistuksen nimi: Win32/Agent.AEGY
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- Ukrainan kriisi – Digital Security Resource Center
- VPN
- Me elämme turvallisuutta
- verkkosivuilla turvallisuus
- zephyrnet
