ArguePatch

El grup Sandworm APT (Advanced Persistent Threat) ha ampliat el seu arsenal amenaçador amb una nova versió del programari maliciós del seu carregador conegut com ArguePatch. Es creu que Sandworm està darrere d'algunes de les operacions d'atac més disruptives. Des de l'inici de la guerra a Ucraïna, el grup s'ha centrat especialment en objectius dins del país.

El carregador ArguePatch es va desplegar com a part de la cadena d'atac Industroyer2. L'amenaça Industroyer2 pot comprometre els sistemes de control industrial (ICS) i es pot aprofitar contra un proveïdor d'energia ucraïnès per interrompre la xarxa energètica del país. A més, ArguePatch s'ha desplegat en nombrosos atacs que ofereixen el programari maliciós d'esborrat de dades CaddyWiper .

La nova versió d'ArguePatch va ser analitzada per investigadors de ciberseguretat i revelada al públic en un nou informe. Segons les conclusions dels experts, la millora ArguePatch utilitza una tècnica diferent per executar la següent etapa de l'atac, fent-lo molt més sigilós. Es necessitaven versions anteriors per configurar una tasca programada a Windows. Per reduir la petjada al sistema, els pirates informàtics han equipat el carregador amb la capacitat d'activar automàticament la següent etapa en un moment especificat. Una altra diferència és que la versió més recent d'ArguePatch explota un executable oficial per amagar-se. S'elimina la signatura digital del fitxer abusat i se'n sobreescriu el codi.