Sandworm, die APT-Gruppe, die für einige der weltweit gefährlichsten Cyberangriffe verantwortlich ist, aktualisiert weiterhin ihr Arsenal für Kampagnen gegen die Ukraine.

ESET Forscher haben im Mai eine aktualisierte Version des ArguePatch Malware-Loaders entdeckt. Zuvor wurde diese beim Industroyer2 Angriff auf einen ukrainischen Energieversorger sowie bei mehreren Attacken mit der Datenlöschungs-Malware CaddyWiper verwendet.

Der Name ArguePatch wurde vom Computer Emergency Response Team der Ukraine (CERT-UA) vergeben. ESET-Produkte erkennen die neue Variante als Win32/Agent.AEGY. Das Update enthält jetzt eine Funktion, mit der die nächste Stufe eines Angriffs zu einem bestimmten Zeitpunkt ausgeführt werden kann. Somit entfällt die Notwendigkeit, einen geplanten Task in Windows einzurichten, und soll den Angreifern wahrscheinlich helfen, unentdeckt zu bleiben.

Ein weiterer Unterschied zwischen den beiden ansonsten sehr ähnlichen Varianten ist, dass die neue Version eine offizielle ESET-Datei verwendet, um ArguePatch zu verstecken. Dazu wurde die digitale Signatur entfernt und der eigentliche Code überschrieben. Der Industroyer2-Angriff nutzte dagegen eine angepasste Version des Remote-Debug-Servers von HexRays IDA Pro.

Der jüngste Fund knüpft an eine Reihe von Entdeckungen an, die ESET Forscher kurz vor dem Einmarsch Russlands in die Ukraine gemacht haben. Am 23. Februar entdeckte die ESET Telemetrie HermeticWiper in den Netzwerken einer Reihe von hochrangigen ukrainischen Organisationen. Die Kampagnen nutzten auch HermeticWizard, einen benutzerdefinierten Wurm, der zur Verbreitung von HermeticWiper in lokalen Netzwerken verwendet wurde und HermeticRansom der als "Decoy-Ransomware" fungierte. Am folgenden Tag begann ein zweiter zerstörerischer Angriff auf ein ukrainisches Regierungsnetzwerk, bei dem dieses Mal IsaacWiper eingesetzt wurde.

ESET entdeckte Mitte März CaddyWiper auf mehreren Dutzend Systemen in einer begrenzten Anzahl von ukrainischen Organisationen. Die Zusammenarbeit von ESET mit dem CERT-UA führte zur Entdeckung eines geplanten Angriffs mit Industroyer2, der im April auf ein ukrainisches Energieunternehmen losgelassen werden sollte.

IoCs für die neue ArguePatch Variante:
Dateiname: eset_ssl_filtered_cert_importer.exe
SHA-1 Hash: 796362BD0304E305AD120576B6A8FB6721108752
ESET Erkennung: Win32/Agent.AEGY

WEITERE INFORMATIONEN (engl.):
ESET Research webinar: How APT groups have turned Ukraine into a cyber‑battlefield
ESET Research podcast: Ukraine’s past and present cyberwar 

Wenn Sie Fragen zu unseren auf WeLiveSecurity veröffentlichten Forschungsergebnissen haben, kontaktieren Sie uns bitte unter threatintel@eset.com
ESET Research bietet jetzt auch private APT Intelligence Reports und Datenfeeds an. Wenn Sie Fragen zu diesem Service haben, besuchen Sie die ESET Threat Intelligence Seite.

Haben Sie Fragen und Anregungen zu diesem, anderen oder zukünftigen Themen, die Sie gern betrachtet sehen wollen? Dann nutzen Sie gern die Kommentarfunktion unter diesem Artikel oder nutzen unser Kontaktformular!