ESET-forskere oppdager en oppdatert versjon av skadevarelasteren som brukes i Industroyer2- og CaddyWiper-angrepene
Sandworm, APT-gruppen bak noen av verdens mest forstyrrende nettangrep, fortsetter å oppdatere sitt arsenal for kampanjer rettet mot Ukraina.
ESETs forskningsteam har nå oppdaget en oppdatert versjon av ArguePatch malware loader som ble brukt i Industrimann 2 angrep mot en ukrainsk energileverandør og i flere angrep som involverer datasletting av skadelig programvare CaddyWiper.
Den nye varianten av ArguePatch – kalt slik av Computer Emergency Response Team of Ukraine (CERT-UA) og oppdaget av ESET-produkter som Win32/Agent.AEGY – inkluderer nå en funksjon for å utføre neste trinn av et angrep på et spesifisert tidspunkt. Dette omgår behovet for å sette opp en planlagt oppgave i Windows og er sannsynligvis ment å hjelpe angriperne med å holde seg under radaren.
# BREAKING #Sandorm fortsetter angrep i Ukraina 🇺🇦. #ESETforskning fant en utvikling av en malware-laster som ble brukt under #Industroyer2 angrep. Denne oppdaterte biten av puslespillet er skadelig programvare @_CERT_UA samtaler #ArguePatch. ArguePatch ble brukt til å lansere #CaddyWiper. #Krig i Ukraina 1/6 pic.twitter.com/y3muhtjps6
- ESET-forskning (@ESETresearch) Kan 20, 2022
En annen forskjell mellom de to ellers svært like variantene er at den nye iterasjonen bruker en offisiell kjørbar ESET for å skjule ArguePatch, med den digitale signaturen fjernet og koden overskrevet. Industroyer2-angrepet utnyttet i mellomtiden en lappet versjon av HexRays IDA Pros eksterne feilsøkingsserver.
Det siste funnet bygger på en rekke funn som ESET-forskere har gjort siden rett før Russlands invasjon av Ukraina. Den 23. februarrd, ESETs telemetri fanget opp HermeticWiper på nettverkene til en rekke høyprofilerte ukrainske organisasjoner. Kampanjene utnyttet også HermeticWizard, en tilpasset orm som brukes til å spre HermeticWiper i lokale nettverk, og HermeticRansom, som fungerte som løsepengeprogramvare. Dagen etter startet et andre destruktivt angrep mot et ukrainsk statlig nettverk, denne gangen utplassert IsaacWiper.
I midten av mars avdekket ESET CaddyWiper på flere dusin systemer i et begrenset antall ukrainske organisasjoner. Viktigere, ESETs samarbeid med CERT-UA førte til oppdagelsen av et planlagt angrep som involverte Industroyer2, som var ment å bli utløst på et ukrainsk kraftselskap i april.
IoCs for den nye ArguePatch-varianten:
Filename: eset_ssl_filtered_cert_importer.exe
SHA-1-hash: 796362BD0304E305AD120576B6A8FB6721108752
ESET-deteksjonsnavn: Win32/Agent.AEGY
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- Ukraine-krisen – Ressurssenter for digital sikkerhet
- VPN
- Vi lever sikkerhet
- nettside sikkerhet
- zephyrnet