Sandworm, el grupo de APT detrás de algunos de los ciberataques más disruptivos del mundo, continúa actualizando su arsenal de herramientas maliciosas para lanzar campañas dirigidas a Ucrania.
El viernes pasado el equipo de investigación de ESET reportó que detectó una versión actualizada de ArguePatch, un componente malicioso para cargar malware que se usó en el ataque de Industroyer2 contra un proveedor de energía ucraniano y en múltiples ataques que involucraron el malware que borra datos llamado CaddyWiper.
La nueva variante de ArguePatch, denominada así por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y detectada por los productos de ESET como Win32/Agent.AEGY, ahora incluye una función para ejecutar en un momento específico la siguiente etapa de un ataque. Esto evita la necesidad de configurar una tarea programada en Windows y probablemente tiene la intención de ayudar a los atacantes a permanecer ocultos dentro de los sistemas de la víctima.
#BREAKING #Sandworm continues attacks in Ukraine 🇺🇦. #ESETresearch found an evolution of a malware loader used during the #Industroyer2 attacks. This updated piece of the puzzle is malware @_CERT_UA calls #ArguePatch. ArguePatch was used to launch #CaddyWiper. #WarInUkraine 1/6 pic.twitter.com/y3muhtjps6
— ESET research (@ESETresearch) May 20, 2022
Otra diferencia entre las dos variantes de ArguePatch, que por cierto son muy similares, es que la nueva variante utiliza un ejecutable oficial de ESET para ocultar ArguePatch, con la firma digital eliminada y el código sobrescrito. Mientras que el ataque de Industroyer2 aprovechó una versión parcheada de un componente legítimo del software Hex-Rays de IDA Pro.
El hallazgo se suma a una serie de descubrimientos que los investigadores de ESET han realizado apenas comenzó la invasión rusa a Ucrania. El 23 de febrero, la telemetría de ESET detectó la presencia de HermeticWiper en las redes de varias organizaciones ucranianas de alto perfil. Las campañas también aprovecharon HermeticWizard, un gusano personalizado utilizado para propagar HermeticWiper dentro de las redes locales, y HermeticRansom, un ransomware que actuó como señuelo. Al día siguiente, se detectó un segundo ataque destructivo contra una red gubernamental ucraniana, esta vez desplegando IsaacWiper.
A mediados de marzo, ESET descubrió CaddyWiper en varias docenas de sistemas en un número limitado de organizaciones ucranianas. Es importante destacar que la colaboración de ESET con el CERT-UA condujo al descubrimiento de un ataque planeado que involucraba a Industroyer2, que estaba destinado a afectar a una compañía eléctrica ucraniana en abril.
IoC para la nueva variante de ArguePatch :
Nombre de archivo: eset_ssl_filtered_cert_importer.exe
Hash SHA-1: 796362BD0304E305AD120576B6A8FB6721108752
Nombre de detección de ESET: Win32/Agent.AEGY
Te invitamos a escuchar el episodio del podcast Conexión Segura en el que hablamos el tema del conflicto con Ucrania y el rol de la ciberseguridad: