Дослідники ESET виявили оновлену версію завантажувача зловмисного програмного забезпечення, яке використовується в атаках Industroyer2 і CaddyWiper
Піщаний черв'як, група APT, яка стоїть за деякими з найбільш руйнівних кібератак у світі, продовжує оновлювати свій арсенал для кампаній, націлених на Україну.
Наразі дослідницька група ESET помітила оновлену версію завантажувача шкідливих програм ArguePatch, який використовувався в Промисловик2 атака на українського постачальника електроенергії та численні атаки, пов’язані зі знищенням даних зловмисним програмним забезпеченням CaddyWiper.
Новий варіант ArguePatch, названий так Групою реагування на надзвичайні ситуації в області комп’ютерних ситуацій України (CERT-UA) і визначений продуктами ESET як Win32/Agent.AEGY, тепер містить функцію виконання наступного етапу атаки у визначений час. Це обходить необхідність налаштування запланованого завдання в Windows і, ймовірно, має на меті допомогти зловмисникам залишатися поза увагою.
ОСТАННІ # #Пісочний черв'як продовжує атаки в Україні 🇺🇦. #ESETsearch знайшли еволюцію завантажувача зловмисного програмного забезпечення, яке використовувалося під час #Індустрієр2 напади. Ця оновлена частина головоломки є зловмисним програмним забезпеченням @_CERT_UA дзвінки #ArguePatch. Для запуску використовувався ArguePatch #CaddyWiper. #ВійнаВУкраїні 1/6 pic.twitter.com/y3muhtjps6
— дослідження ESET (@ESETresearch) Травень 20, 2022
Ще одна відмінність між двома дуже схожими варіантами полягає в тому, що нова ітерація використовує офіційний виконуваний файл ESET, щоб приховати ArguePatch, з видаленим цифровим підписом і перезаписаним кодом. Атака Industroyer2, тим часом, використовувала виправлену версію віддаленого сервера налагодження HexRays IDA Pro.
Остання знахідка базується на низці відкриттів, які дослідники ESET зробили безпосередньо перед вторгненням Росії в Україну. 23 лютогоrd, телеметрія ESET підхопила HermeticWiper в мережах ряду гучних українських організацій. Кампанії також використовували HermeticWizard, спеціальний хробак, який використовувався для поширення HermeticWiper у локальних мережах, і HermeticRansom, який діяв як приманка для програм-вимагачів. Наступного дня почалася друга руйнівна атака на українську урядову мережу, цього разу розгортання IsaacWiper.
У середині березня ESET виявила CaddyWiper на кількох десятках систем в обмеженій кількості українських організацій. Важливо, що співпраця ESET із CERT-UA призвела до виявлення спланованої атаки за участю Industroyer2, яку планувалося здійснити проти української енергетичної компанії у квітні.
IoC для нового варіанту ArguePatch:
Файл: eset_ssl_filtered_cert_importer.exe
Хеш SHA-1: 796362BD0304E305AD120576B6A8FB6721108752
Назва виявлення ESET: Win32/Agent.AEGY
- blockchain
- coingenius
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Kaspersky
- шкідливих програм
- Макафі
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- Криза в Україні – Ресурсний центр цифрової безпеки
- VPN
- Ми живемо безпеки
- безпеки веб-сайтів
- зефірнет