Badacze firmy ESET wykryli zaktualizowaną wersję programu ładującego złośliwe oprogramowanie używanego w atakach Industroyer2 i CaddyWiper
Robak piaskowy, grupa APT odpowiedzialna za niektóre z najbardziej destrukcyjnych cyberataków na świecie, nadal aktualizuje swój arsenał kampanii skierowanych przeciwko Ukrainie.
Zespół badawczy firmy ESET wykrył teraz zaktualizowaną wersję programu ładującego złośliwe oprogramowanie ArguePatch, który był używany w Przemysłowiec2 ataku na ukraińskiego dostawcę energii oraz w licznych atakach polegających na wymazywaniu danych złośliwym oprogramowaniem tzw CaddyWycieraczka.
Nowy wariant ArguePatch – nazwany tak przez ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) i wykrywany przez produkty firmy ESET jako Win32/Agent.AEGY – zawiera teraz funkcję przeprowadzania kolejnego etapu ataku w określonym czasie. Omija to konieczność konfigurowania zaplanowanego zadania w systemie Windows i prawdopodobnie ma na celu pomóc atakującym pozostać w ukryciu.
# BREAKING #Robak piaskowy kontynuuje ataki na Ukrainie 🇺🇦. #ESETbadania znalazł ewolucję programu ładującego złośliwe oprogramowanie używanego podczas #Przemysłowiec2 ataki. Ten zaktualizowany element układanki to złośliwe oprogramowanie @_CERT_UA Połączenia #ArguePach. Do uruchomienia użyto ArguePatch #CaddyWycieraczka. #WojnaNaUkrainie 1/6 pic.twitter.com/y3muhtjps6
— Badania ESET (@ESETresearch) 20 maja 2022 r.
Inną różnicą między dwoma skądinąd bardzo podobnymi wariantami jest to, że nowa iteracja wykorzystuje oficjalny plik wykonywalny ESET do ukrycia ArguePatch, z usuniętym podpisem cyfrowym i nadpisanym kodem. Tymczasem atak Industroyer2 wykorzystał poprawioną wersję serwera zdalnego debugowania HexRays IDA Pro.
Najnowsze znalezisko opiera się na serii odkryć, których badacze firmy ESET dokonali tuż przed rosyjską inwazją na Ukrainę. 23 lutegord, dane telemetryczne firmy ESET wzrosły Hermetyczna wycieraczka w sieciach wielu znanych ukraińskich organizacji. Kampanie wykorzystywały również HermeticWizard, niestandardowego robaka używanego do rozprzestrzeniania HermeticWiper w sieciach lokalnych, oraz HermeticRansom, który działał jako wabik ransomware. Następnego dnia rozpoczął się drugi destrukcyjny atak na ukraińską sieć rządową, tym razem rozmieszczany Izaak Wiper.
W połowie marca firma ESET wykryła CaddyWiper na kilkudziesięciu systemach w ograniczonej liczbie ukraińskich organizacji. Co ważne, współpraca ESET z CERT-UA doprowadziła do wykrycia planowanego ataku z udziałem Industroyer2, który miał zostać przeprowadzony na ukraińską firmę energetyczną w kwietniu.
IoC dla nowego wariantu ArguePatch:
Nazwa pliku: eset_ssl_filtered_cert_importer.exe
Hash SHA-1: 796362BD0304E305AD120576B6A8FB6721108752
Nazwa wykrycia ESET: Win32/Agent.AEGY
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- Kryzys na Ukrainie – Centrum Zasobów Bezpieczeństwa Cyfrowego
- VPN
- Żyjemy w bezpieczeństwie
- zabezpieczenia stron internetowych
- zefirnet