Компания ESET ― лидер в области информационной безопасности ― сообщает об обнаружении усовершенствованной версии загрузчика вредоносных программ, который ранее использовался группой Sandworm во время атак угрозы Industroyer2 на энергетический сектор в Украине. Обновленный загрузчик получил название от CERT-UA ― ArguePatch. Теперь это вредоносное программное обеспечение применяется для запуска программы CaddyWiper с функционалом уничтожения данных, которая использовалась для атак на украинские организации.
Новая версия загрузчика является исправленной версией легитимного компонента программного обеспечения Hex-RaysSA IDA Pro, а именно удаленного сервера налаживания IDA (win32_remote.exe). В версию добавлен код для расшифровки и запуска CaddyWiper из внешнего файла.
Чтобы скрыть активность ArguePatch, группа Sandworm выбрала официальный исполняемый файл ESET. Он был лишен цифровой подписи, а код перезаписан.
Добавленный код достаточно похожий в предыдущей и новой версии загрузчика, но теперь он содержит функцию для запуска следующего этапа в определенное время. Таким образом, злоумышленники заменяют необходимость настройки запланированного задания Windows для запуска кода. Вероятно, это способ избежать обнаружения с помощью известных TTP.
Стоит отметить, что продукты ESET обнаруживают это вредоносное программное обеспечение как Win32/Agent.AEGY Trojan.
Исследователи ESET продолжают следить за ситуацией в киберпространстве с целью защиты организаций и своевременного реагирования на инциденты кибербезопасности. В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.
В связи с опасностью дальнейших атак на украинских пользователей специалисты ESET рекомендуют соблюдать основные правила кибербезопасности, в частности создавать надежные пароли, своевременно обновлять программное обеспечение и использовать решения для защиты от современных векторов атак.
Чтобы обеспечить защиту рабочих станций от киберугроз, а также усилить безопасность от новых видов атак с помощью облачной песочницы и XDR-инструмента, вы можете отправить запрос на электронную почту sales@eset.ua и получить бесплатные лицензии.
Читайте также:
Возвращение Industroyer: новые кибератаки на энергетический сектор в Украине
Украина стала целью разрушительных атак до и во время российского вторжения
История длиной в 8 лет: Украина как поле кибератак группы хакеров Sandworm