Sandworm, il gruppo APT dietro ad alcuni dei cyberattacchi più dirompenti al mondo, continua ad aggiornare il suo arsenale per le campagne rivolte all’Ucraina.
Il team di ricerca di ESET ha individuato una versione aggiornata del payload di malware ArguePatch, utilizzato nell’attacco Industroyer2 contro un fornitore di energia ucraino e in diversi attacchi che coinvolgono il malware di cancellazione dei dati chiamato CaddyWiper.
La nuova variante di ArguePatch così denominata dal Computer Emergency Response Team dell’Ucraina (CERT-UA) e rilevata dai prodotti ESET come Win32/Agent.AEGY include ora una funzione che consente di eseguire la fase successiva di un attacco in un momento specifico. Questo aggira la necessità di impostare un’attività pianificata in Windows e probabilmente ha lo scopo di aiutare gli aggressori a non farsi notare.
Un’altra differenza tra le due varianti, altrimenti molto simili, è che la nuova iterazione utilizza un eseguibile ufficiale di ESET per nascondere ArguePatch, con la firma digitale rimossa e il codice sovrascritto. L’attacco Industroyer2, invece, sfruttava una versione patchata del server di debug remoto di HexRays IDA Pro.
L’ultima scoperta si aggiunge a una serie di rilevamenti che i ricercatori ESET hanno fatto da poco prima dell’invasione dell’Ucraina da parte della Russia. Il 23 febbraio, la telemetria di ESET ha individuato HermeticWiper sulle reti di una serie di organizzazioni ucraine di alto profilo. Le campagne hanno sfruttato anche HermeticWizard, un worm personalizzato utilizzato per propagare HermeticWiper all’interno delle reti locali, e HermeticRansom, che ha agito come ransomware esca. Il giorno successivo è iniziato un secondo attacco distruttivo contro una rete governativa ucraina, questa volta con IsaacWiper.
A metà marzo, ESET ha scoperto CaddyWiper su diverse decine di sistemi in un numero limitato di organizzazioni ucraine. È importante notare che la collaborazione di ESET con il CERT-UA ha portato alla scoperta di un attacco pianificato che coinvolgeva Industroyer2, destinato a scatenarsi su una società elettrica ucraina nel mese di aprile.