ArguePatch

Sandworm APT (Advanced Persistent Threat)-gruppen har utvidet sitt truende arsenal med en ny versjon av loader-malware kjent som ArguePatch. Sandorm antas å stå bak noen av de mest forstyrrende angrepsoperasjonene. Siden starten av krigen i Ukraina har gruppen vært fokusert på mål i landet spesielt.

ArguePatch-lasteren ble distribuert som en del av Industroyer2-angrepskjeden. Trusselen Industroyer2 kan kompromittere industrielle kontrollsystemer (ICS) og utnyttes mot en ukrainsk energileverandør for å forstyrre landets energinett. I tillegg har ArguePatch blitt utplassert i en rekke angrep som leverer dataslettende skadelig programvare CaddyWiper .

Den nye versjonen av ArguePatch ble analysert av cybersikkerhetsforskere og avslørt for offentligheten i en ny rapport. I følge funnene til ekspertene bruker forbedringen ArguePatch en annen teknikk for å utføre neste trinn av angrepet, noe som gjør det langt mer snikende. Tidligere versjoner trengs for å sette opp en planlagt oppgave i Windows. For å redusere fotavtrykket på systemet har hackerne utstyrt lasteren med muligheten til å aktivere neste trinn automatisk på et spesifisert tidspunkt. En annen forskjell er at den nyere ArguePatch-versjonen utnytter en offisiell kjørbar fil for å skjule seg selv. Den digitale signaturen til den misbrukte filen fjernes og koden overskrives.