23 мая 2022 г., 13:55
Компанія Eset повідомляє про виявлення вдосконаленої версії завантажувача шкідливих програм, який раніше використовувався групою Sandworm під час атак загрози Industroyer2 на енергетичний сектор в Україні. Оновлений завантажувач отримав назву від CERT-UA – ArguePatch. Тепер це шкідливе ПЗ застосовується для запуску програми CaddyWiper з функціоналом знищення даних, яка використовувалася для атак на українські організації.
Нова версія завантажувача є виправленою версією легітимного компонента програмного забезпечення Hex-RaysSA IDA Pro, а саме віддаленого сервера налагодження IDA (win32_remote.exe). У версію додано код для розшифрування та запуску CaddyWiper із зовнішнього файлу.
Щоб приховати активність ArguePatch, група Sandworm обрала офіційний виконуваний файл Eset. Його було позбавлено цифрового підпису, а код перезаписано.
Доданий код досить схожий у попередній та новій версії завантажувача, але тепер він містить функцію для запуску наступного етапу атаки в певний час. Таким чином зловмисники замінюють необхідність налаштування запланованого завдання Windows для запуску коду. Ймовірно, це є способом уникнути виявлення за допомогою відомих TTP.
Продукти Eset виявляють це шкідливе ПЗ як Win32/Agent.AEGY Trojan.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365