Les chercheurs d'ESET repèrent une version mise à jour du chargeur de logiciels malveillants utilisé dans les attaques Industroyer2 et CaddyWiper
Ver de sable, le groupe APT à l'origine de certaines des cyberattaques les plus perturbatrices au monde, continue de mettre à jour son arsenal pour les campagnes ciblant l'Ukraine.
L'équipe de recherche d'ESET a maintenant repéré une version mise à jour du chargeur de logiciels malveillants ArguePatch qui a été utilisé dans le Industrie2 attaque contre un fournisseur d'énergie ukrainien et dans plusieurs attaques impliquant un logiciel malveillant d'effacement de données appelé CaddieEssuie-Glace.
La nouvelle variante d'ArguePatch - nommée ainsi par l'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) et détectée par les produits ESET sous le nom de Win32/Agent.AEGY - inclut désormais une fonctionnalité permettant d'exécuter la prochaine étape d'une attaque à un moment précis. Cela évite la nécessité de configurer une tâche planifiée dans Windows et est probablement destiné à aider les attaquants à rester sous le radar.
# RUPTURE #ver des sables continue les attaques en Ukraine 🇺🇦. #ESETrecherche trouvé une évolution d'un chargeur de logiciels malveillants utilisé lors de la #Industriel2 attaques. Cette pièce du puzzle mise à jour est un logiciel malveillant @_CERT_UA en cours #ArguePatch. ArguePatch a été utilisé pour lancer #CaddyWiper. #GuerreEnUkraine 1/6 pic.twitter.com/y3muhtjps6
- Recherche ESET (@ESETresearch) 20 mai 2022
Une autre différence entre les deux variantes par ailleurs très similaires est que la nouvelle itération utilise un exécutable ESET officiel pour masquer ArguePatch, avec la signature numérique supprimée et le code écrasé. L'attaque Industroyer2, quant à elle, a exploité une version corrigée du serveur de débogage à distance de HexRays IDA Pro.
La dernière découverte s'appuie sur une série de découvertes que les chercheurs d'ESET ont faites juste avant l'invasion de l'Ukraine par la Russie. Le 23 févrierrd, la télémétrie d'ESET a capté Hermétique sur les réseaux d'un certain nombre d'organisations ukrainiennes de premier plan. Les campagnes ont également exploité HermeticWizard, un ver personnalisé utilisé pour propager HermeticWiper à l'intérieur des réseaux locaux, et HermeticRansom, qui a agi comme un leurre ransomware. Le lendemain, une deuxième attaque destructrice contre un réseau gouvernemental ukrainien a commencé, cette fois en déployant IsaacEssuie-glace.
À la mi-mars, ESET a découvert CaddyWiper sur plusieurs dizaines de systèmes dans un nombre limité d'organisations ukrainiennes. Il est important de noter que la collaboration d'ESET avec CERT-UA a conduit à la découverte d'une attaque planifiée impliquant Industroyer2, qui devait être lancée contre une compagnie d'électricité ukrainienne en avril.
IoCs pour la nouvelle variante ArguePatch :
Nom du fichier: eset_ssl_filtered_cert_importer.exe
Hachage SHA-1 : 796362BD0304E305AD120576B6A8FB6721108752
Nom de détection ESET : Win32/Agent.AEGY
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- Crise ukrainienne – Centre de ressources sur la sécurité numérique
- VPN
- Nous vivons la sécurité
- la sécurité d'un site web
- zéphyrnet