ESET 연구원들은 Industroyer2 및 CaddyWiper 공격에 사용된 맬웨어 로더의 업데이트된 버전을 발견했습니다.
샌드위치세계에서 가장 파괴적인 사이버 공격의 배후에 있는 APT 그룹인 는 우크라이나를 대상으로 하는 캠페인을 위해 무기를 계속 업데이트하고 있습니다.
ESET 연구팀은 이제 업데이트된 버전의 ArguePatch 맬웨어 로더를 발견했습니다. 산업2 우크라이나 에너지 공급업체에 대한 공격과 캐디와이퍼.
ArguePatch의 새로운 변종(CERT-UA(Computer Emergency Response Team of Ukraine)에 의해 명명되고 ESET 제품에서 Win32/Agent.AEGY로 탐지됨)에는 지정된 시간에 공격의 다음 단계를 실행하는 기능이 포함되어 있습니다. 이렇게 하면 Windows에서 예약된 작업을 설정할 필요가 없으며 공격자가 레이더 아래에 머물도록 돕기 위한 것일 수 있습니다.
# 속보 #샌드웜 우크라이나 🇺🇦에서 공격을 계속합니다. #ESET연구 동안 사용된 악성코드 로더의 진화를 발견했습니다. #인더스트리이어2 공격. 이 업데이트된 퍼즐 조각은 맬웨어입니다. @_CERT_UA 통화 #ArguePatch. ArguePatch를 사용하여 시작했습니다. #캐디와이퍼. #WarIn우크라이나 1/6 pic.twitter.com/y3muhtjps6
— ESET 연구(@ESETresearch) 2022 년 5 월 20 일
매우 유사한 두 변종의 또 다른 차이점은 새로운 반복이 디지털 서명이 제거되고 코드를 덮어쓴 ArguePatch를 숨기기 위해 공식 ESET 실행 파일을 사용한다는 것입니다. 한편 Industroyer2 공격은 패치된 버전의 HexRays IDA Pro 원격 디버그 서버를 활용했습니다.
최신 발견은 러시아의 우크라이나 침공 직전부터 ESET 연구원들이 만든 일련의 발견을 기반으로 합니다. 23월 XNUMX일rd, ESET의 원격 분석이 선택되었습니다. 밀폐 와이퍼 여러 유명한 우크라이나 조직의 네트워크에서. 또한 이 캠페인은 로컬 네트워크 내에서 HermeticWiper를 전파하는 데 사용되는 맞춤형 웜인 HermeticWizard와 유인 랜섬웨어 역할을 하는 HermeticRansom을 활용했습니다. 다음날 우크라이나 정부 네트워크에 대한 두 번째 파괴적인 공격이 시작되었습니다. 아이작와이퍼.
2월 중순 ESET은 제한된 수의 우크라이나 조직에서 수십 개의 시스템에서 CadyWiper를 발견했습니다. 중요한 것은 ESET과 CERT-UA의 협력으로 IndustroyerXNUMX와 관련된 계획된 공격이 발견되었다는 것입니다.
새로운 ArguePatch 변형에 대한 IoC:
파일 이름 : eset_ssl_filtered_cert_importer.exe
SHA-1 해시: 796362BD0304E305AD120576B6A8FB6721108752
ESET 탐지 이름: Win32/Agent.AEGY
