Група Sandworm продовжує здійснювати кібератаки в Україні

Компанія ESET повідомляє про виявлення вдосконаленої версії завантажувача шкідливих програм, який раніше використовувався групою Sandworm під час атак загрози Industroyer2 на енергетичний сектор в Україні. Оновлений завантажувач отримав назву від CERT-UA ― ArguePatch. Тепер це шкідливе програмне забезпечення застосовується для запуску програми CaddyWiper з функціоналом знищення даних, яка використовувалася для атак на українські організації.

Група Sandworm продовжує здійснювати кібератаки в Україні

Нова версія завантажувача є виправленою версією легітимного компонента програмного забезпечення Hex-RaysSA IDA Pro, а саме віддаленого сервера налагодження IDA (win32_remote.exe). У версію додано код для розшифрування та запуску CaddyWiper із зовнішнього файлу.

Щоб приховати активність ArguePatch, група Sandworm обрала офіційний виконуваний файл ESET. Його було позбавлено цифрового підпису, а код перезаписано.

Доданий код досить схожий у попередній та новій версії завантажувача, але тепер він містить функцію для запуску наступного етапу атаки в певний час. Таким чином зловмисники замінюють необхідність налаштування запланованого завдання Windows для запуску коду. Ймовірно, це є способом уникнути виявлення за допомогою відомих TTP.

Варто зазначити, що продукти ESET виявляють це шкідливе програмне забезпечення як Win32/Agent.AEGY Trojan.

Дослідники ESET продовжують слідкувати за ситуацією в кіберпросторі з метою захисту організацій та вчасного реагування на інциденти кібербезпеки. У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.

У зв’язку з небезпекою подальших атак на українських користувачів спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема створювати надійні паролі, вчасно оновлювати програмне забезпечення та використовувати рішення для захисту від сучасних векторів атак.

Дивіться огляди:

-->