Az ESET kutatói felfedezték az Industroyer2 és CaddyWiper támadásokban használt rosszindulatú programbetöltő frissített verzióját
Sandworm, a világ legrombolóbb kibertámadásai mögött álló APT csoport továbbra is frissíti arzenálját az Ukrajnát célzó kampányokhoz.
Az ESET kutatócsoportja most észrevette az ArguePatch kártevő-betöltő frissített verzióját, amelyet a Iparos2 egy ukrán energiaszolgáltató elleni támadás, és több támadás során adattörlő kártevők CaddyWiper.
Az ArguePatch új változata – amelyet az ukrán Computer Emergency Response Team (CERT-UA) nevez el, és az ESET-termékek Win32/Agent.AEGY néven észlelték – mostantól tartalmaz egy olyan funkciót, amely egy adott időpontban végrehajtja a támadás következő szakaszát. Ez megkerüli az ütemezett feladat beállításának szükségességét a Windows rendszerben, és valószínűleg segít a támadóknak abban, hogy a radar alatt maradjanak.
# BREAKING #Homokféreg folytatják a támadásokat Ukrajnában 🇺🇦. #ESETresearch során használt rosszindulatú programbetöltő evolúcióját találta #Iparos2 támadások. A rejtvénynek ez a frissített része rosszindulatú program @_CERT_UA hívások #ArguePatch. Az ArguePatch-et használták az indításhoz #CaddyWiper. #HáborúUkrajnában 1/6 pic.twitter.com/y3muhtjps6
— ESET kutatás (@ESETresearch) May 20, 2022
A másik különbség a két egyébként nagyon hasonló változat között, hogy az új iteráció egy hivatalos ESET futtatható fájlt használ az ArguePatch elrejtésére, a digitális aláírás eltávolításával és a kód felülírásával. Az Industroyer2 támadás eközben a HexRays IDA Pro távoli hibakereső szerverének javított verzióját használta.
A legújabb lelet azon felfedezések sorozatán alapul, amelyeket az ESET kutatói tettek közvetlenül az orosz ukrajnai invázió előtt. Február 23-ánrd, az ESET telemetriája felvette HermeticWiper számos nagy horderejű ukrán szervezet hálózatán. A kampányok a HermeticWizardot, a HermeticWiper helyi hálózatokon belüli terjesztésére használt egyedi férget és a HermeticRansomot is felhasználták, amely csaló ransomwareként működött. Másnap egy második pusztító támadás indult egy ukrán kormányzati hálózat ellen, ezúttal bevetésre IsaacWiper.
Március közepén az ESET néhány ukrán szervezet több tucat rendszerén fedezte fel a CaddyWipert. Fontos, hogy az ESET és a CERT-UA együttműködése egy tervezett támadás felfedezéséhez vezetett az Industroyer2-vel, amelyet áprilisban egy ukrán áramszolgáltatóval akartak végrehajtani.
IoC-k az új ArguePatch-változathoz:
Fájlnév: eset_ssl_filtered_cert_importer.exe
SHA-1 hash: 796362BD0304E305AD120576B6A8FB6721108752
ESET észlelési neve: Win32/Agent.AEGY
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- belbiztonsági osztály
- digitális pénztárcák
- tűzfal
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- Ukrajnai válság – Digitális biztonsági erőforrásközpont
- VPN
- Biztonságban élünk
- A honlap biztonsága
- zephyrnet