Группа Sandworm продолжает атаковать Украину

Группа Sandworm продолжает атаковать Украину

Компания ESET сообщила об обнаружении усовершенствованной версии загрузчика вредоносных программ, который ранее использовался группой Sandworm во время атак угрозы Industroyer2 на энергетический сектор в Украине. Обновленный загрузчик получил название от CERT-UA ― ArguePatch. Теперь это вредоносное программное обеспечение применяется для запуска программы CaddyWiper с функционалом уничтожения данных, которая использовалась для атак на украинские организации.

Новая версия загрузчика является исправленной версией легитимного компонента программного обеспечения Hex-RaysSA IDA Pro, а именно удаленного сервера налаживания IDA (win32_remote.exe). В версию добавлен код для расшифровки и запуска CaddyWiper из внешнего файла.

Чтобы скрыть активность ArguePatch, группа Sandworm выбрала официальный исполняемый файл ESET. Он был лишен цифровой подписи, а код перезаписан.

Добавленный код достаточно похожий в предыдущей и новой версии загрузчика, но теперь он содержит функцию для запуска следующего этапа в определенное время. Таким образом, злоумышленники заменяют необходимость настройки запланированного задания Windows для запуска кода. Вероятно, это способ избежать обнаружения с помощью известных TTP.

Стоит отметить, что продукты ESET обнаруживают это вредоносное программное обеспечение как Win32/Agent.AEGY Trojan.

Исследователи ESET продолжают следить за ситуацией в киберпространстве с целью защиты организаций и своевременного реагирования на инциденты кибербезопасности. В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *