Компания ESET сообщила об обнаружении усовершенствованной версии загрузчика вредоносных программ, который ранее использовался группой Sandworm во время атак угрозы Industroyer2 на энергетический сектор в Украине. Обновленный загрузчик получил название от CERT-UA ― ArguePatch. Теперь это вредоносное программное обеспечение применяется для запуска программы CaddyWiper с функционалом уничтожения данных, которая использовалась для атак на украинские организации.

Новая версия загрузчика является исправленной версией легитимного компонента программного обеспечения Hex-RaysSA IDA Pro, а именно удаленного сервера налаживания IDA (win32_remote.exe). В версию добавлен код для расшифровки и запуска CaddyWiper из внешнего файла.

Чтобы скрыть активность ArguePatch, группа Sandworm выбрала официальный исполняемый файл ESET. Он был лишен цифровой подписи, а код перезаписан.

Добавленный код достаточно похожий в предыдущей и новой версии загрузчика, но теперь он содержит функцию для запуска следующего этапа в определенное время. Таким образом, злоумышленники заменяют необходимость настройки запланированного задания Windows для запуска кода. Вероятно, это способ избежать обнаружения с помощью известных TTP.

Стоит отметить, что продукты ESET обнаруживают это вредоносное программное обеспечение как Win32/Agent.AEGY Trojan.

Исследователи ESET продолжают следить за ситуацией в киберпространстве с целью защиты организаций и своевременного реагирования на инциденты кибербезопасности. В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.