ESET-onderzoekers ontdekken een bijgewerkte versie van de malware-lader die werd gebruikt bij de Industroyer2- en CaddyWiper-aanvallen
sandworm, de APT-groep achter enkele van 's werelds meest ontwrichtende cyberaanvallen, blijft zijn arsenaal aan campagnes gericht op Oekraïne updaten.
Het ESET-onderzoeksteam heeft nu een bijgewerkte versie van de ArguePatch-malwarelader ontdekt die werd gebruikt in de Industrieel2 aanval op een Oekraïense energieleverancier en bij meerdere aanvallen waarbij gegevens werden gewist, werd malware genoemd CaddyWiper.
De nieuwe variant van ArguePatch – zo genoemd door het Computer Emergency Response Team van Oekraïne (CERT-UA) en door ESET-producten gedetecteerd als Win32/Agent.AEGY – bevat nu een functie om de volgende fase van een aanval op een bepaald tijdstip uit te voeren. Dit omzeilt de noodzaak om een geplande taak in Windows in te stellen en is waarschijnlijk bedoeld om de aanvallers te helpen onder de radar te blijven.
# BREAKING #Zandworm gaat door met aanvallen in Oekraïne 🇺🇦. #ESETresearch vond een evolutie van een malware-lader die werd gebruikt tijdens de #Industrie2 aanvallen. Dit bijgewerkte stukje van de puzzel is malware @_CERT_UA gesprekken #ArguePatch. ArguePatch werd gebruikt om te starten #CaddyWiper. #OorlogInOekraïne 1/6 pic.twitter.com/y3muhtjps6
- ESET-onderzoek (@ESETresearch) 20 mei 2022
Een ander verschil tussen de twee overigens zeer vergelijkbare varianten is dat de nieuwe versie een officieel uitvoerbaar bestand van ESET gebruikt om ArguePatch te verbergen, waarbij de digitale handtekening wordt verwijderd en de code wordt overschreven. De Industroyer2-aanval maakte ondertussen gebruik van een gepatchte versie van de externe debug-server van HexRays IDA Pro.
De nieuwste vondst bouwt voort op een reeks ontdekkingen die ESET-onderzoekers hebben gedaan sinds vlak voor de Russische invasie van Oekraïne. Op 23 februarird, de telemetrie van ESET is opgepikt Hermetische Wiper op de netwerken van een aantal spraakmakende Oekraïense organisaties. De campagnes maakten ook gebruik van HermeticWizard, een aangepaste worm die wordt gebruikt voor het verspreiden van HermeticWiper binnen lokale netwerken, en HermeticRansom, dat fungeerde als lokransomware. De volgende dag begon een tweede destructieve aanval op een Oekraïens overheidsnetwerk, dit keer met inzet IsaacWiper.
Midden maart ontdekte ESET CaddyWiper op enkele tientallen systemen in een beperkt aantal Oekraïense organisaties. Belangrijk is dat de samenwerking van ESET met CERT-UA heeft geleid tot de ontdekking van een geplande aanval waarbij Industroyer2 betrokken was, die in april op een Oekraïens energiebedrijf zou worden losgelaten.
IoC's voor de nieuwe ArguePatch-variant:
Filename: eset_ssl_filtered_cert_importer.exe
SHA-1-hash: 796362BD0304E305AD120576B6A8FB6721108752
ESET-detectienaam: Win32/Agent.AEGY
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- Oekraïne Crisis – Digital Security Resource Center
- VPN
- We leven veiligheid
- website veiligheid
- zephyrnet
