`

СПЕЦИАЛЬНІ
ПАРТНЕРИ
ПРОЕКТА

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Кіберзлочинці використовують виконуваний файл Eset, щоб приховати активність шкідливої програми ArguePatch

0 
 

Кіберзлочинці використовують виконуваний файл Eset, щоб приховати активність шкідливої програми ArguePatch

Компанія Eset повідомляє про виявлення вдосконаленої версії завантажувача шкідливих програм, який раніше використовувався групою Sandworm під час атак загрози Industroyer2 на енергетичний сектор в Україні. Оновлений завантажувач отримав назву від CERT-UA – ArguePatch. Тепер це шкідливе ПЗ застосовується для запуску програми CaddyWiper з функціоналом знищення даних, яка використовувалася для атак на українські організації.

Нова версія завантажувача є виправленою версією легітимного компонента програмного забезпечення Hex-RaysSA IDA Pro, а саме віддаленого сервера налагодження IDA (win32_remote.exe). У версію додано код для розшифрування та запуску CaddyWiper із зовнішнього файлу.

Щоб приховати активність ArguePatch, група Sandworm обрала офіційний виконуваний файл Eset. Його було позбавлено цифрового підпису, а код перезаписано.

Доданий код досить схожий у попередній та новій версії завантажувача, але тепер він містить функцію для запуску наступного етапу атаки в певний час. Таким чином зловмисники замінюють необхідність налаштування запланованого завдання Windows для запуску коду. Ймовірно, це є способом уникнути виявлення за допомогою відомих TTP.

Продукти Eset виявляють це шкідливе ПЗ як Win32/Agent.AEGY Trojan.

Як протидіяти DDoS та цілеспрямованим атакам на інфраструктуру

0 
 

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT