![](https://expert.com.ua/wp-content/uploads/2025/01/giganet_banner-900x90-2.png")
Компанія ESET повідомляє про виявлення вдосконаленої версії завантажувача шкідливих програм, який раніше використовувався групою Sandworm під час атак загрози Industroyer2 на енергетичний сектор в Україні. Оновлений завантажувач отримав назву від CERT-UA ― ArguePatch. Тепер це шкідливе програмне забезпечення застосовується для запуску програми CaddyWiper з функціоналом знищення даних, яка використовувалася для атак на українські організації.
Нова версія завантажувача є виправленою версією легітимного компонента програмного забезпечення Hex-RaysSA IDA Pro, а саме віддаленого сервера налагодження IDA (win32_remote.exe). У версію додано код для розшифрування та запуску CaddyWiper із зовнішнього файлу.
Щоб приховати активність ArguePatch, група Sandworm обрала офіційний виконуваний файл ESET. Його було позбавлено цифрового підпису, а код перезаписано.
Доданий код досить схожий у попередній та новій версії завантажувача, але тепер він містить функцію для запуску наступного етапу атаки в певний час. Таким чином зловмисники замінюють необхідність налаштування запланованого завдання Windows для запуску коду. Ймовірно, це є способом уникнути виявлення за допомогою відомих TTP.
Варто зазначити, що продукти ESET виявляють це шкідливе програмне забезпечення як Win32/Agent.AEGY Trojan.
Дослідники ESET продовжують слідкувати за ситуацією в кіберпросторі з метою захисту організацій та вчасного реагування на інциденти кібербезпеки. У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.
У зв’язку з небезпекою подальших атак на українських користувачів спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема створювати надійні паролі, вчасно оновлювати програмне забезпечення та використовувати рішення для захисту від сучасних векторів атак.
