Группа киберпреступников Sandworm продолжает совершать атаки в Украине

Компания ESET ― лидер в области информационной безопасности ― сообщает об обнаружении усовершенствованной версии загрузчика вредоносных программ, который ранее использовался группой Sandworm во время атак угрозы Industroyer2 на энергетический сектор в Украине. Обновленный загрузчик получил название от CERT-UA ― ArguePatch. Теперь это вредоносное программное обеспечение применяется для запуска программы CaddyWiper с функционалом уничтожения данных, которая использовалась для атак на украинские организации.

Новая версия загрузчика является исправленной версией легитимного компонента программного обеспечения Hex-RaysSA IDA Pro, а именно удаленного сервера налаживания IDA (win32_remote.exe). В версию добавлен код для расшифровки и запуска CaddyWiper из внешнего файла.

Чтобы скрыть активность ArguePatch, группа Sandworm выбрала официальный исполняемый файл ESET. Он был лишен цифровой подписи, а код перезаписан.

Добавленный код достаточно похожий в предыдущей и новой версии загрузчика, но теперь он содержит функцию для запуска следующего этапа в определенное время. Таким образом, злоумышленники заменяют необходимость настройки запланированного задания Windows для запуска кода. Вероятно, это способ избежать обнаружения с помощью известных TTP.

Стоит отметить, что продукты ESET обнаруживают это вредоносное программное обеспечение как Win32/Agent.AEGY Trojan.

Исследователи ESET продолжают следить за ситуацией в киберпространстве с целью защиты организаций и своевременного реагирования на инциденты кибербезопасности. В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.

Киберпространство организаций нуждается в защите ESET.

В связи с опасностью дальнейших атак на украинских пользователей специалисты ESET рекомендуют соблюдать основные правила кибербезопасности, в частности создавать надежные пароли, своевременно обновлять программное обеспечение и использовать решения для защиты от современных векторов атак.

Чтобы обеспечить защиту рабочих станций от киберугроз, а также усилить безопасность от новых видов атак с помощью облачной песочницы и XDR-инструмента, вы можете отправить запрос на электронную почту sales@eset.ua и получить бесплатные лицензии.

 

Читайте также:

Возвращение Industroyer: новые кибератаки на энергетический сектор в Украине

Украина стала целью разрушительных атак до и во время российского вторжения

История длиной в 8 лет: Украина как поле кибератак группы хакеров Sandworm