Sandworm, o grupo APT por trás de alguns dos ciberataques mais disruptivos do mundo, continua utilizando seu arsenal de ferramentas maliciosas para lançar campanhas direcionadas à Ucrânia.
Na semana passada, a equipe de pesquisa da ESET relatou a detecção de uma versão atualizada do malware ArguePatch, um carregador de malware que foi usado no ataque Industroyer2 contra um fornecedor de energia ucraniano e em vários ataques envolvendo o CaddyWiper – um malware que apaga dados.
A nova variante do ArguePatch – batizado pela Computer Emergency Response Team of Ukraine (CERT-UA) e detectada pelos produtos ESET como Win32/Agent.AEGY, agora inclui um recurso para executar o próximo estágio de um ataque em um momento específico. Isso ignora a necessidade de configurar uma tarefa agendada no Windows e provavelmente visa ajudar os atacantes a permanecerem fora do radar dentro dos sistemas da vítima.
#BREAKING #Sandworm continues attacks in Ukraine 🇺🇦. #ESETresearch found an evolution of a malware loader used during the #Industroyer2 attacks. This updated piece of the puzzle is malware @_CERT_UA calls #ArguePatch. ArguePatch was used to launch #CaddyWiper. #WarInUkraine 1/6 pic.twitter.com/y3muhtjps6
— ESET research (@ESETresearch) May 20, 2022
Outra diferença entre as duas variantes altamente do ArguePatch, que com certeza são bastante semelhantes, é que a nova variante usa um executável oficial da ESET para ocultar o ArguePatch, com a assinatura digital removida e o código substituído. O ataque Industroyer2, enquanto isso, aproveitou uma versão corrigida do servidor de depuração remota do HexRays IDA Pro.
A última descoberta faz parte de uma série de descobertas que os pesquisadores da ESET fizeram desde pouco antes da invasão da Ucrânia pela Rússia. Em 23 de fevereiro , a telemetria da ESET captou o HermeticWiper nas redes de várias organizações ucranianas de alto perfil. As campanhas também aproveitaram o HermeticWizard, um worm personalizado usado para propagar o HermeticWiper dentro de redes locais, e o HermeticRansom, um ransomware que funcionava como isca. No dia seguinte, um segundo ataque destrutivo contra uma rede governamental ucraniana começou, desta vez implantando o IsaacWiper.
Em meados de março, a ESET descobriu o CaddyWiper em várias dezenas de sistemas em um número limitado de organizações ucranianas. É importante ressaltar que a colaboração da ESET com o CERT-UA levou à descoberta de um ataque planejado envolvendo o Industroyer2, que deveria ser desencadeado em uma empresa de energia ucraniana em abril.
IoCs para a nova variante ArguePatch:
Nome do arquivo: eset_ssl_filtered_cert_importer.exe
SHA-1 hash: 796362BD0304E305AD120576B6A8FB6721108752
Nome de detecção ESET: Win32/Agent.AEGY