ESET 研究人员发现了 Industroyer2 和 CaddyWiper 攻击中使用的恶意软件加载程序的更新版本
沙虫是世界上一些最具破坏性的网络攻击背后的 APT 组织,它继续更新其针对乌克兰的活动的武器库。
ESET 研究团队现在发现了 ArguePatch 恶意软件加载程序的更新版本,该加载程序用于 工业家2 针对乌克兰能源供应商的攻击以及涉及数据擦除恶意软件的多次攻击,称为 球童刮水器.
ArguePatch 的新变种 - 由乌克兰计算机应急响应小组 (CERT-UA) 命名并被 ESET 产品检测为 Win32/Agent.AEGY - 现在包括在指定时间执行下一阶段攻击的功能。 这绕过了在 Windows 中设置计划任务的需要,并且可能旨在帮助攻击者保持警惕。
#BREAKING #沙虫 在乌克兰继续袭击🇺🇦。 #ESETresearch 发现了在 #Industroyer2 攻击。 这个更新的难题是恶意软件 @_CERT_UA 电话 #ArguePatch. ArguePatch 用于启动 #CaddyWiper. #乌克兰战争 1/6 pic.twitter.com/y3muhtjps6
- ESET研究(@ESETresearch) 2022 年 5 月 20 日
这两个高度相似的变体之间的另一个区别是,新的迭代使用官方 ESET 可执行文件来隐藏 ArguePatch,删除了数字签名并覆盖了代码。 与此同时,Industroyer2 攻击利用了 HexRays IDA Pro 远程调试服务器的补丁版本。
最新发现建立在 ESET 研究人员自俄罗斯入侵乌克兰之前所做的一系列发现的基础上。 23月XNUMX日rd, ESET 的遥测信号拾取 密封雨刮器 在一些备受瞩目的乌克兰组织的网络上。 这些活动还利用了 HermeticWizard(一种用于在本地网络内传播 HermeticWiper 的自定义蠕虫)和 HermeticRansom(充当诱饵勒索软件)。 第二天,针对乌克兰政府网络的第二次破坏性攻击开始了,这次是部署 艾萨克雨刷.
2 月中旬,ESET 在少数乌克兰组织的数十个系统上发现了 CaddyWiper。 重要的是,ESET 与 CERT-UA 的合作导致发现了一项涉及 IndustroyerXNUMX 的计划攻击,该攻击原计划于 XNUMX 月对一家乌克兰电力公司发动。
新 ArguePatch 变体的 IoC:
档案名称: eset_ssl_filtered_cert_importer.exe
SHA-1 哈希: 796362BD0304E305AD120576B6A8FB6721108752
ESET 检测名称:Win32/Agent.AEGY