ArguePatch

A Sandworm APT (Advanced Persistent Threat) csoport az ArguePatch néven ismert betöltő rosszindulatú programjának új verziójával bővítette fenyegető arzenálját. A feltételezések szerint a Sandworm áll a legtöbb bomlasztó támadás mögött. Az ukrajnai háború kezdete óta a csoport elsősorban az országon belüli célpontokra összpontosított.

Az ArguePatch betöltőt az Industroyer2 támadási lánc részeként telepítették. Az Industroyer2 fenyegetés veszélyeztetheti az ipari vezérlőrendszereket (ICS), és egy ukrán energiaszolgáltatóval szemben is megzavarhatja az ország energiahálózatát. Ezenkívül az ArguePatch-et számos támadásban bevetették, amelyek a CaddyWiper adattörlő rosszindulatú programot szállítják.

Az ArguePatch új verzióját kiberbiztonsági kutatók elemezték, és egy új jelentésben tárták a nyilvánosság elé. A szakértők megállapításai szerint az ArguePatch fejlesztése más technikával hajtja végre a támadás következő szakaszát, így sokkal lopakodóbb. A korábbi verziókra szükség volt egy ütemezett feladat beállításához a Windows rendszerben. A rendszer lábnyomának csökkentése érdekében a hackerek felszerelték a betöltőt azzal a képességgel, hogy egy adott időpontban automatikusan aktiválja a következő szakaszt. Egy másik különbség az, hogy az ArguePatch újabb verziója egy hivatalos végrehajtható fájlt használ ki, hogy elrejtse magát. A visszaélt fájl digitális aláírását eltávolítják, és a kódját felülírják.

Felkapott

Legnézettebb

Betöltés...