ESET-ovi raziskovalci opazijo posodobljeno različico nalagalnika zlonamerne programske opreme, uporabljenega v napadih Industroyer2 in CaddyWiper
Pesek, skupina APT, ki stoji za nekaterimi najbolj motečimi kibernetskimi napadi na svetu, še naprej posodablja svoj arzenal za kampanje, ki ciljajo na Ukrajino.
Raziskovalna skupina ESET je zdaj opazila posodobljeno različico nalagalnika zlonamerne programske opreme ArguePatch, ki je bila uporabljena v Industroyer2 napad na ukrajinskega ponudnika energije in več napadov, ki vključujejo zlonamerno programsko opremo za brisanje podatkov CaddyWiper.
Nova različica ArguePatch – tako jo je poimenovala Ukrajinska ekipa za odzivanje na računalniške nujne primere (CERT-UA) in so jo izdelki ESET zaznali kot Win32/Agent.AEGY – zdaj vključuje funkcijo za izvedbo naslednje stopnje napada ob določenem času. To zaobide potrebo po nastavitvi načrtovanega opravila v sistemu Windows in najverjetneje pomaga napadalcem, da ostanejo izven radarja.
#BREAKING #peščeni črv nadaljuje z napadi v Ukrajini 🇺🇦. #ESETraziskovanje našel razvoj nalagalnika zlonamerne programske opreme, uporabljenega med #Industroyer2 napadi. Ta posodobljen del sestavljanke je zlonamerna programska oprema @_CERT_UA klici #ArguePatch. Za zagon je bil uporabljen ArguePatch #CaddyWiper. #VojnaVUkrajini 1/6 pic.twitter.com/y3muhtjps6
- raziskave ESET (@ESETresearch) Maj 20, 2022
Druga razlika med dvema sicer zelo podobnima različicama je, da nova ponovitev uporablja uradno izvršljivo datoteko ESET za skrivanje ArguePatch, pri čemer je digitalni podpis odstranjen in koda prepisana. Napad Industroyer2 je medtem izkoristil popravljeno različico oddaljenega strežnika za odpravljanje napak HexRays IDA Pro.
Najnovejša ugotovitev temelji na nizu odkritij, do katerih so prišli raziskovalci družbe ESET tik pred invazijo Rusije na Ukrajino. 23. februarjard, se je ESET-ova telemetrija dvignila HermeticWiper na omrežjih številnih odmevnih ukrajinskih organizacij. Kampanje so izkoristile tudi HermeticWizard, črv po meri, ki se uporablja za širjenje HermeticWiper znotraj lokalnih omrežij, in HermeticRansom, ki je deloval kot vaba za izsiljevalsko programsko opremo. Naslednji dan se je začel drugi uničujoči napad na ukrajinsko vladno mrežo, tokrat razporejen IsaacWiper.
Sredi marca je ESET odkril CaddyWiper na več desetih sistemih v omejenem številu ukrajinskih organizacij. Pomembno je, da je ESET-ovo sodelovanje s CERT-UA vodilo do odkritja načrtovanega napada, ki vključuje Industroyer2, ki naj bi ga aprila sprožili na ukrajinsko elektroenergetsko podjetje.
IoC za novo različico ArguePatch:
Ime datoteke: eset_ssl_filtered_cert_importer.exe
Zgoščevanje SHA-1: 796362BD0304E305AD120576B6A8FB6721108752
Ime zaznavanja ESET: Win32/Agent.AEGY
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- Ukrajinska kriza – Center virov za digitalno varnost
- VPN
- Živimo varnost
- spletna varnost
- zefirnet
