ArguePatch

Sandworm APT (Advanced Persistent Threat) rühm on laiendanud oma ähvardavat arsenali oma laadija pahavara uue versiooniga, mida nimetatakse ArguePatchiks. Arvatakse, et mõne kõige häirivama rünnaku taga on Sandworm . Alates sõja algusest Ukrainas on rühmitus keskendunud sihtmärkidele eelkõige riigis.

ArguePatchi laadur kasutati Industroyer2 ründeahela osana. Industroyer2 oht võib kahjustada tööstusjuhtimissüsteeme (ICS) ja olla võimendatud Ukraina energiatarnija vastu, et häirida riigi energiavõrku. Lisaks on ArguePatchit kasutatud paljudes rünnakutes, mis edastavad andmeid kustutava pahavara CaddyWiper .

ArguePatchi uut versiooni analüüsisid küberjulgeoleku teadlased ja see avalikustati uues aruandes. Ekspertide järelduste kohaselt kasutab täiustus ArguePatch rünnaku järgmise etapi läbiviimiseks teistsugust tehnikat, muutes selle palju varjatumaks. Varasemad versioonid olid vajalikud ajastatud toimingu seadistamiseks Windowsis. Süsteemi jalajälje vähendamiseks on häkkerid varustanud laadija võimalusega aktiveerida järgmine etapp määratud ajal automaatselt. Teine erinevus seisneb selles, et uuem ArguePatchi versioon kasutab enda varjamiseks ametlikku käivitatavat faili. Kuritarvitatud faili digiallkiri eemaldatakse ja selle kood kirjutatakse üle.