นักวิจัยของ ESET ตรวจพบมัลแวร์โหลดเดอร์เวอร์ชันอัปเดตที่ใช้ในการโจมตี Industroyer2 และ CaddyWiper
หนอนทรายซึ่งเป็นกลุ่ม APT ที่อยู่เบื้องหลังการโจมตีทางไซเบอร์ที่ก่อกวนมากที่สุดในโลก ยังคงอัปเดตคลังแสงของตนสำหรับแคมเปญที่กำหนดเป้าหมายไปยังยูเครน
ทีมวิจัยของ ESET ได้พบตัวโหลดมัลแวร์ ArguePatch เวอร์ชันอัปเดตที่ใช้ใน อุตสาหกรรม2 โจมตีผู้ให้บริการด้านพลังงานของยูเครนและในการโจมตีหลายครั้งที่เกี่ยวข้องกับมัลแวร์ล้างข้อมูลที่เรียกว่า แคดดี้ไวเปอร์.
ArguePatch รุ่นใหม่ ซึ่งตั้งชื่อโดย Computer Emergency Response Team of Ukraine (CERT-UA) และตรวจพบโดยผลิตภัณฑ์ ESET ในชื่อ Win32/Agent.AEGY ซึ่งตอนนี้มีฟีเจอร์สำหรับดำเนินการในขั้นต่อไปของการโจมตีตามเวลาที่กำหนด สิ่งนี้จะข้ามความจำเป็นในการตั้งค่างานตามกำหนดเวลาใน Windows และมีแนวโน้มที่จะช่วยให้ผู้โจมตีอยู่ภายใต้เรดาร์
#BREAKING #หนอนทราย ยังคงโจมตีในยูเครน 🇺🇦. #ESETการวิจัย พบวิวัฒนาการของตัวโหลดมัลแวร์ที่ใช้ระหว่าง #Industryer2 การโจมตี ปริศนาที่อัปเดตนี้เป็นมัลแวร์ @_CERT_UA โทร #อาร์กิวแพทช์. ArguePatch ถูกใช้เพื่อเปิดตัว #แคดดี้ไวเปอร์. #สงครามในยูเครน 1/6 pic.twitter.com/y3muhtjps6
— การวิจัยของ ESET (@ESETresearch) May 20, 2022
ความแตกต่างอีกประการระหว่างสองตัวแปรที่มีความคล้ายคลึงกันอย่างมากคือการทำซ้ำใหม่นี้ใช้โปรแกรมปฏิบัติการ ESET อย่างเป็นทางการเพื่อซ่อน ArguePatch โดยลบลายเซ็นดิจิทัลและเขียนทับโค้ด ในขณะเดียวกัน การโจมตีของ Industroyer2 ได้ใช้ประโยชน์จากเซิร์ฟเวอร์ดีบักระยะไกลของ HexRays IDA Pro เวอร์ชันแพตช์
การค้นพบล่าสุดสร้างขึ้นจากการค้นพบจำนวนมากที่นักวิจัยของ ESET ได้ทำตั้งแต่ก่อนรัสเซียบุกยูเครน วันที่ 23 กุมภาพันธ์rd, telemetry ของ ESET หยิบขึ้นมา HermeticWiper บนเครือข่ายขององค์กรยูเครนที่มีชื่อเสียงจำนวนมาก แคมเปญดังกล่าวยังใช้ประโยชน์จาก HermeticWizard ซึ่งเป็นเวิร์มแบบกำหนดเองที่ใช้สำหรับเผยแพร่ HermeticWiper ภายในเครือข่ายท้องถิ่น และ HermeticRansom ซึ่งทำหน้าที่เป็นตัวหลอกล่อแรนซัมแวร์ วันรุ่งขึ้น การโจมตีทำลายล้างครั้งที่สองต่อเครือข่ายรัฐบาลยูเครนเริ่มต้นขึ้น คราวนี้กำลังปรับใช้ ไอแซกไวเปอร์.
ในกลางเดือนมีนาคม ESET ได้เปิดเผย CaddyWiper ในระบบหลายสิบระบบในองค์กรในยูเครนจำนวนจำกัด ที่สำคัญ การทำงานร่วมกันของ ESET กับ CERT-UA นำไปสู่การค้นพบแผนการโจมตีที่เกี่ยวข้องกับ Industroyer2 ซึ่งตั้งใจจะปล่อยในบริษัทพลังงานของยูเครนในเดือนเมษายน
IoC สำหรับตัวแปร ArguePatch ใหม่:
ชื่อไฟล์: eset_ssl_filtered_cert_importer.exe
แฮช SHA-1: 796362BD0304E305AD120576B6A8FB6721108752
ชื่อการตรวจหา ESET: Win32/Agent.AEGY
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- วิกฤตการณ์ในยูเครน – ศูนย์ข้อมูลความปลอดภัยดิจิทัล
- VPN
- เราอยู่การรักษาความปลอดภัย
- ความปลอดภัยของเว็บไซต์
- ลมทะเล