Исследовательская группа ESET обнаружила обновленную версию загрузчика вредоносного ПО ArguePatch, который использовался в атаке Industroyer2 против украинского поставщика электроэнергии и в многочисленных атаках с использованием вредоносного ПО для стирания данных под названием CaddyWiper.
ArguePatch
Новый вариант ArguePatch, названный так командой Computer Emergency Response Team of Ukraine (CERT-UA) и обнаруженный продуктами ESET как Win32/Agent.AEGY, теперь включает функцию выполнения следующего этапа атаки в заданное время. Это позволяет обойти необходимость установки запланированной задачи в Windows и, вероятно, призвано помочь злоумышленникам остаться незамеченными.
Еще одно различие между двумя в остальном очень похожими вариантами заключается в том, что новая итерация использует официальный исполняемый файл ESET для сокрытия ArguePatch, при этом цифровая подпись удаляется, а код переписывается. Атака Industroyer2, тем временем, использовала исправленную версию сервера удаленной отладки HexRays IDA Pro.
Indicators of Compromise
SHA1
- 796362bd0304e305ad120576b6a8fb6721108752