I ricercatori ESET individuano una versione aggiornata del caricatore di malware utilizzato negli attacchi Industroyer2 e CaddyWiper
sandworm, il gruppo APT dietro alcuni degli attacchi informatici più dirompenti al mondo, continua ad aggiornare il suo arsenale per le campagne contro l'Ucraina.
Il team di ricerca ESET ha ora individuato una versione aggiornata del caricatore di malware ArguePatch che è stato utilizzato nel Industrie2 attacco contro un fornitore di energia ucraino e in più attacchi che coinvolgono la cancellazione dei dati malware chiamato Caddy Wiper.
La nuova variante di ArguePatch, chiamata così dal Computer Emergency Response Team of Ukraine (CERT-UA) e rilevata dai prodotti ESET come Win32/Agent.AEGY, include ora una funzionalità per eseguire la fase successiva di un attacco in un momento specifico. Ciò aggira la necessità di impostare un'attività pianificata in Windows ed è probabilmente destinata ad aiutare gli aggressori a rimanere sotto il radar.
# ROTTURA #Verme della sabbia continuano gli attacchi in Ucraina 🇺🇦. #ESETresearch trovato un'evoluzione di un caricatore di malware utilizzato durante il #Industry2 attacchi. Questo pezzo aggiornato del puzzle è un malware @_CERT_UA chiamate #ArguePatch. ArguePatch è stato utilizzato per l'avvio #CaddyWiper. #GuerraInUcraina 1/6 pic.twitter.com/y3muhtjps6
- Ricerca ESET (@ESETresearch) 20 Maggio 2022
Un'altra differenza tra le due varianti altrimenti molto simili è che la nuova iterazione utilizza un eseguibile ESET ufficiale per nascondere ArguePatch, con la firma digitale rimossa e il codice sovrascritto. L'attacco Industroyer2, nel frattempo, ha sfruttato una versione con patch del server di debug remoto di HexRays IDA Pro.
L'ultima scoperta si basa su una serie di scoperte che i ricercatori ESET hanno fatto poco prima dell'invasione russa dell'Ucraina. Il 23 febbraiord, la telemetria di ESET è stata rilevata Tergicristallo ermetico sulle reti di una serie di organizzazioni ucraine di alto profilo. Le campagne sfruttavano anche HermeticWizard, un worm personalizzato utilizzato per propagare HermeticWiper all'interno delle reti locali, e HermeticRansom, che fungeva da ransomware esca. Il giorno successivo è iniziato un secondo attacco distruttivo contro una rete governativa ucraina, questa volta schierata Isaac Wiper.
A metà marzo, ESET ha scoperto CaddyWiper su diverse dozzine di sistemi in un numero limitato di organizzazioni ucraine. È importante sottolineare che la collaborazione di ESET con CERT-UA ha portato alla scoperta di un attacco pianificato che coinvolge Industroyer2, che doveva essere scatenato contro una società elettrica ucraina ad aprile.
IoC per la nuova variante ArguePatch:
Nome del file: eset_ssl_filtered_cert_importer.exe
hash SHA-1: 796362BD0304E305AD120576B6A8FB6721108752
Nome rilevamento ESET: Win32/Agent.AEGY
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Crisi in Ucraina – Centro risorse per la sicurezza digitale
- VPN
- Viviamo la sicurezza
- sicurezza del sito Web
- zefiro
