ArguePatch

Il gruppo Sandworm APT (Advanced Persistent Threat) ha ampliato il suo arsenale minaccioso con una nuova versione del loro malware di caricamento noto come ArguePatch. Si ritiene che Sandworm sia dietro alcune delle operazioni di attacco più dirompenti. Dall'inizio della guerra in Ucraina, il gruppo si è concentrato in particolare su obiettivi all'interno del paese.

Il caricatore ArguePatch è stato distribuito come parte della catena di attacco Industroyer2. La minaccia Industroyer2 può compromettere i sistemi di controllo industriale (ICS) ed essere sfruttata contro un fornitore di energia ucraino per interrompere la rete energetica del paese. Inoltre, ArguePatch è stato implementato in numerosi attacchi fornendo il malware per la cancellazione dei dati CaddyWiper .

La nuova versione di ArguePatch è stata analizzata dai ricercatori della sicurezza informatica e rivelata al pubblico in un nuovo rapporto. Secondo i risultati degli esperti, il miglioramento ArguePatch utilizza una tecnica diversa per eseguire la fase successiva dell'attacco, rendendolo molto più furtivo. Le versioni precedenti erano necessarie per configurare un'attività pianificata in Windows. Per ridurre l'ingombro sul sistema, gli hacker hanno dotato il caricatore della capacità di attivare automaticamente la fase successiva a un'ora specificata. Un'altra differenza è che la versione più recente di ArguePatch sfrutta un eseguibile ufficiale per nascondersi. La firma digitale del file abusato viene rimossa e il suo codice viene sovrascritto.