Các nhà nghiên cứu của ESET phát hiện phiên bản cập nhật của trình tải phần mềm độc hại được sử dụng trong các cuộc tấn công Industroyer2 và CaddyWiper
Sâu cát, nhóm APT đứng sau một số vụ tấn công mạng gây rối nhất thế giới, tiếp tục cập nhật kho vũ khí của mình cho các chiến dịch nhắm vào Ukraine.
Nhóm nghiên cứu ESET hiện đã phát hiện ra phiên bản cập nhật của trình tải phần mềm độc hại ArguePatch đã được sử dụng trong Công nghiệp2 cuộc tấn công chống lại một nhà cung cấp năng lượng Ukraine và trong nhiều cuộc tấn công liên quan đến phần mềm độc hại xóa dữ liệu được gọi là CaddyGạt nước.
Biến thể mới của ArguePatch – được đặt tên như vậy bởi Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) và được các sản phẩm của ESET phát hiện là Win32/Agent.AEGY – hiện bao gồm một tính năng để thực hiện giai đoạn tiếp theo của một cuộc tấn công vào một thời điểm cụ thể. Điều này bỏ qua nhu cầu thiết lập một tác vụ theo lịch trình trong Windows và có khả năng nhằm giúp những kẻ tấn công nằm trong tầm ngắm.
# NỔI BẬT #Sandworm tiếp tục các cuộc tấn công ở Ukraine 🇺🇦. #ESETnghiên cứu đã tìm thấy sự phát triển của trình tải phần mềm độc hại được sử dụng trong quá trình #Công nghiệp2 các cuộc tấn công. Mảnh ghép được cập nhật này là phần mềm độc hại @_CERT_UA cuộc gọi #ArguePatch. ArguePatch đã được sử dụng để khởi chạy #CaddyGạt nước. #Chiến tranh ở Ukraine 1/6 pic.twitter.com/y3muhtjps6
- Nghiên cứu ESET (@ESETresearch) 20 Tháng Năm, 2022
Một điểm khác biệt nữa giữa hai biến thể rất giống nhau là phiên bản mới sử dụng tệp thực thi ESET chính thức để ẩn ArguePatch, với chữ ký số bị xóa và mã bị ghi đè. Trong khi đó, cuộc tấn công Industroyer2 đã tận dụng một phiên bản vá lỗi của máy chủ gỡ lỗi từ xa của HexRays IDA Pro.
Phát hiện mới nhất được xây dựng dựa trên một chuỗi các khám phá mà các nhà nghiên cứu của ESET đã thực hiện ngay trước khi Nga xâm lược Ukraine. Vào ngày 23 tháng XNUMXrd, phép đo từ xa của ESET đã chọn Kín Khăn Lau trên mạng của một số tổ chức cấp cao của Ukraine. Các chiến dịch cũng tận dụng HermeticWizard, một loại sâu tùy chỉnh được sử dụng để truyền HermeticWiper bên trong các mạng cục bộ và HermeticRansom, hoạt động như một ransomware mồi nhử. Ngày hôm sau, một cuộc tấn công phá hoại thứ hai chống lại mạng lưới chính phủ Ukraine bắt đầu, lần này triển khai IsaacGạt Nước.
Vào giữa tháng 2, ESET đã phát hiện ra CaddyWiper trên vài chục hệ thống trong một số tổ chức Ukraine. Điều quan trọng là, sự hợp tác của ESET với CERT-UA đã dẫn đến việc phát hiện ra một cuộc tấn công có kế hoạch liên quan đến IndustroyerXNUMX, dự kiến sẽ được thực hiện nhằm vào một công ty điện lực của Ukraine vào tháng Tư.
IoC cho biến thể ArguePatch mới:
Tên tập tin: eset_ssl_filtered_cert_importer.exe
Băm SHA-1: 796362BD0304E305AD120576B6A8FB6721108752
Tên phát hiện ESET: Win32/Agent.AEGY
- blockchain
- thiên tài
- ví tiền điện tử
- trao đổi tiền điện tử
- an ninh mạng
- tội phạm mạng
- An ninh mạng
- bộ phận an ninh quê hương
- ví kỹ thuật số
- tường lửa
- Kaspersky
- phần mềm độc hại
- macfee
- NexBLOC
- plato
- Plato ai
- Thông tin dữ liệu Plato
- Trò chơi Plato
- PlatoDữ liệu
- Platogaming
- Khủng hoảng Ukraine - Trung tâm Tài nguyên An ninh Kỹ thuật số
- VPN
- Chúng tôi sống An ninh
- bảo mật website
- zephyrnet