Кіберзлочинці використовують виконуваний файл Eset, щоб приховати активність шкідливої програми ArguePatch

Компанія Eset повідомляє про виявлення вдосконаленої версії завантажувача шкідливих програм, який раніше використовувався групою Sandworm під час атак загрози Industroyer2 на енергетичний сектор в Україні. Оновлений завантажувач отримав назву від CERT-UA – ArguePatch. Тепер це шкідливе ПЗ застосовується для запуску програми CaddyWiper з функціоналом знищення даних, яка використовувалася для атак на українські організації.

Нова версія завантажувача є виправленою версією легітимного компонента програмного забезпечення Hex-RaysSA IDA Pro, а саме віддаленого сервера налагодження IDA (win32_remote.exe). У версію додано код для розшифрування та запуску CaddyWiper із зовнішнього файлу.

Щоб приховати активність ArguePatch, група Sandworm обрала офіційний виконуваний файл Eset. Його було позбавлено цифрового підпису, а код перезаписано.

Доданий код досить схожий у попередній та новій версії завантажувача, але тепер він містить функцію для запуску наступного етапу атаки в певний час. Таким чином зловмисники замінюють необхідність налаштування запланованого завдання Windows для запуску коду. Ймовірно, це є способом уникнути виявлення за допомогою відомих TTP.

Продукти Eset виявляють це шкідливе ПЗ як Win32/Agent.AEGY Trojan.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365