ESET-forskare upptäcker en uppdaterad version av skadlig programvara som används i Industroyer2- och CaddyWiper-attackerna
Sandworm, APT-gruppen bakom några av världens mest störande cyberattacker, fortsätter att uppdatera sin arsenal för kampanjer riktade mot Ukraina.
ESETs forskargrupp har nu upptäckt en uppdaterad version av ArguePatch malware loader som användes i Industrispelare 2 attack mot en ukrainsk energileverantör och i flera attacker som involverar datatorkning skadlig programvara CaddyWiper.
Den nya varianten av ArguePatch – namngiven så av Computer Emergency Response Team of Ukraine (CERT-UA) och upptäckt av ESET-produkter som Win32/Agent.AEGY – innehåller nu en funktion för att utföra nästa steg i en attack vid en angiven tidpunkt. Detta kringgår behovet av att ställa in en schemalagd uppgift i Windows och är sannolikt tänkt att hjälpa angriparna att hålla sig under radarn.
#BREAKING #Sandmask fortsätter attackerna i Ukraina 🇺🇦. #ESETforskning hittade en utveckling av en skadlig programvara som användes under #Industrier2 attacker. Denna uppdaterade pusselbit är skadlig programvara @_CERT_UA samtal #ArguePatch. ArguePatch användes för att lansera #CaddyWiper. #Krig i Ukraina 1/6 pic.twitter.com/y3muhtjps6
- ESET-forskning (@ESETresearch) Maj 20, 2022
En annan skillnad mellan de två annars mycket lika varianterna är att den nya iterationen använder en officiell körbar ESET för att dölja ArguePatch, med den digitala signaturen borttagen och koden överskriven. Industroyer2-attacken utnyttjade under tiden en korrigerad version av HexRays IDA Pros fjärrfelsökningsserver.
Det senaste fyndet bygger på en rad upptäckter som ESET-forskare har gjort sedan strax före Rysslands invasion av Ukraina. Den 23 februarird, tog ESET:s telemetri upp HermeticWiper på nätverk av ett antal högprofilerade ukrainska organisationer. Kampanjerna utnyttjade också HermeticWizard, en anpassad mask som används för att sprida HermeticWiper i lokala nätverk, och HermeticRansom, som fungerade som lockbete ransomware. Nästa dag startade en andra destruktiv attack mot ett ukrainskt statligt nätverk, denna gång utplacerade IsaacWiper.
I mitten av mars upptäckte ESET CaddyWiper på flera dussin system i ett begränsat antal ukrainska organisationer. Viktigt är att ESETs samarbete med CERT-UA ledde till upptäckten av en planerad attack som involverade Industroyer2, som var tänkt att släppas lös mot ett ukrainskt kraftbolag i april.
IoC för den nya ArguePatch-varianten:
Filename: eset_ssl_filtered_cert_importer.exe
SHA-1 hash: 796362BD0304E305AD120576B6A8FB6721108752
ESET-detektionsnamn: Win32/Agent.AEGY
- blockchain
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- säkerhetstjänsten
- digitala plånböcker
- brandvägg
- kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- Ukraine Crisis – Digital Security Resource Center
- VPN
- Vi lever säkerhet
- webbplats säkerhet
- zephyrnet
