Компанія ESET ― лідер у галузі інформаційної безпеки ― повідомляє про виявлення вдосконаленої версії завантажувача шкідливих програм, який раніше використовувався групою Sandworm під час атак загрози Industroyer2 на енергетичний сектор в Україні. Оновлений завантажувач отримав назву від CERT-UA ― ArguePatch. Тепер це шкідливе програмне забезпечення застосовується для запуску програми CaddyWiper з функціоналом знищення даних, яка використовувалася для атак на українські організації.
Нова версія завантажувача є виправленою версією легітимного компонента програмного забезпечення Hex-RaysSA IDA Pro, а саме віддаленого сервера налагодження IDA (win32_remote.exe). У версію додано код для розшифрування та запуску CaddyWiper із зовнішнього файлу.
Щоб приховати активність ArguePatch, група Sandworm обрала офіційний виконуваний файл ESET. Його було позбавлено цифрового підпису, а код перезаписано.
Доданий код досить схожий у попередній та новій версії завантажувача, але тепер він містить функцію для запуску наступного етапу атаки в певний час. Таким чином зловмисники замінюють необхідність налаштування запланованого завдання Windows для запуску коду. Ймовірно, це є способом уникнути виявлення за допомогою відомих TTP.
Варто зазначити, що продукти ESET виявляють це шкідливе програмне забезпечення як Win32/Agent.AEGY Trojan.
У зв’язку з небезпекою подальших атак на українських користувачів спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема створювати надійні паролі, вчасно оновлювати програмне забезпечення та використовувати рішення для захисту від сучасних векторів атак.
Джерело ESET
З питань придбання продуктів ESET звертайтеся до наших фахівців +380 (44) 383 4410 або sales@softico.ua.