ArguePatch

Sandworm APT-gruppen (Advanced Persistent Threat) har udvidet sit truende arsenal med en ny version af deres loader-malware kendt som ArguePatch. Sandorm menes at stå bag nogle af de mest forstyrrende angrebsoperationer. Siden starten af krigen i Ukraine har gruppen været fokuseret på mål i landet især.

ArguePatch-indlæseren blev implementeret som en del af Industroyer2-angrebskæden. Industroyer2-truslen kan kompromittere industrielle kontrolsystemer (ICS) og udnyttes mod en ukrainsk energileverandør til at forstyrre landets energinet. Derudover er ArguePatch blevet implementeret i adskillige angreb, der leverer den dataslette malware CaddyWiper .

Den nye version af ArguePatch blev analyseret af cybersikkerhedsforskere og afsløret for offentligheden i en ny rapport. Ifølge eksperternes resultater bruger forbedringen ArguePatch en anden teknik til at udføre den næste fase af angrebet, hvilket gør det langt mere snigende. Tidligere versioner er nødvendige for at konfigurere en planlagt opgave i Windows. For at reducere fodaftrykket på systemet har hackerne udstyret loaderen med muligheden for automatisk at aktivere næste trin på et bestemt tidspunkt. En anden forskel er, at den nyere ArguePatch-version udnytter en officiel eksekverbar til at skjule sig selv. Den digitale signatur af den misbrugte fil fjernes, og dens kode overskrives.