ArguePatch Loader IOCs

security

Исследовательская группа ESET обнаружила обновленную версию загрузчика вредоносного ПО ArguePatch, который использовался в атаке Industroyer2 против украинского поставщика электроэнергии и в многочисленных атаках с использованием вредоносного ПО для стирания данных под названием CaddyWiper.

ArguePatch

Новый вариант ArguePatch, названный так командой Computer Emergency Response Team of Ukraine (CERT-UA) и обнаруженный продуктами ESET как Win32/Agent.AEGY, теперь включает функцию выполнения следующего этапа атаки в заданное время. Это позволяет обойти необходимость установки запланированной задачи в Windows и, вероятно, призвано помочь злоумышленникам остаться незамеченными.

Еще одно различие между двумя в остальном очень похожими вариантами заключается в том, что новая итерация использует официальный исполняемый файл ESET для сокрытия ArguePatch, при этом цифровая подпись удаляется, а код переписывается. Атака Industroyer2, тем временем, использовала исправленную версию сервера удаленной отладки HexRays IDA Pro.

Indicators of Compromise

SHA1

  • 796362bd0304e305ad120576b6a8fb6721108752
Комментарии: 0