Sandworm usa una nueva versión de ArguePatch para atacar objetivos en Ucrania


Los investigadores de ESET detectan una versión actualizada del cargador de malware utilizado en los ataques Industroyer2 y CaddyWiper

Sandworm, el grupo APT detrás de algunos de los ataques cibernéticos más perturbadores del mundo, continúa actualizando su arsenal para campañas dirigidas a Ucrania.

El equipo de investigación de ESET detectó una versión actualizada del cargador de malware ArguePatch que se usó en el ataque Industroyer2 contra un proveedor de energía ucraniano y en múltiples ataques que involucraron el malware de borrado de datos llamado CaddyWiper.

La nueva variante de ArguePatch, denominada así por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y detectada por los productos de ESET como Get32/Agent.AEGY, ahora incluye una función para ejecutar la siguiente etapa de un ataque en un momento específico. Esto evita la necesidad de configurar una tarea programada en Home windows y probablemente tiene la intención de ayudar a los atacantes a permanecer ocultos.

Otra diferencia entre las dos variantes, por lo demás muy similares, es que la nueva iteración utiliza un ejecutable oficial de ESET para ocultar ArguePatch, con la firma digital eliminada y el código sobrescrito. Mientras tanto, el ataque Industroyer2 aprovechó una versión parcheada del servidor de depuración remota de HexRays IDA Pro.

El último hallazgo se basa en una serie de descubrimientos que los investigadores de ESET han realizado desde justo antes de la invasión rusa de Ucrania. el 23 de febrerord, la telemetría de ESET detectó a HermeticWiper en las redes de varias organizaciones ucranianas de alto perfil. Las campañas también aprovecharon HermeticWizard, un gusano personalizado utilizado para propagar HermeticWiper dentro de las redes locales, y HermeticRansom, que actuó como ransomware señuelo. Al día siguiente, comenzó un segundo ataque destructivo contra una purple gubernamental ucraniana, esta vez desplegando IsaacWiper.

A mediados de marzo, ESET descubrió CaddyWiper en varias docenas de sistemas en un número limitado de organizaciones ucranianas. Es importante destacar que la colaboración de ESET con CERT-UA condujo al descubrimiento de un ataque planeado que involucraba a Industroyer2, que estaba destinado a ser desatado en una compañía eléctrica ucraniana en abril.

IoC para la nueva variante de ArguePatch:
Nombre del archivo: eset_ssl_filtered_cert_importer.exe
Hachís SHA-1: 796362BD0304E305Advertisement120576B6A8FB6721108752
Nombre de detección de ESET: Get32/Agent.AEGY





Enlace a la noticia initial