ArguePatch

De Sandworm APT-groep (Advanced Persistent Threat) heeft zijn arsenaal aan bedreigingen uitgebreid met een nieuwe versie van hun loader-malware, bekend als ArguePatch. Aangenomen wordt dat Sandworm achter enkele van de meest ontwrichtende aanvalsoperaties zit. Sinds het begin van de oorlog in Oekraïne richt de groep zich met name op doelen in het land.

De ArguePatch-lader werd ingezet als onderdeel van de Industroyer2-aanvalsketen. De Industroyer2-dreiging kan industriële controlesystemen (ICS) in gevaar brengen en kan worden gebruikt tegen een Oekraïense energieleverancier om het energienetwerk van het land te verstoren. Bovendien is ArguePatch ingezet bij talloze aanvallen die de gegevenswissende malware CaddyWiper afleveren .

De nieuwe versie van ArguePatch is geanalyseerd door cybersecurity-onderzoekers en openbaar gemaakt in een nieuw rapport. Volgens de bevindingen van de experts gebruikt de verbetering ArguePatch een andere techniek om de volgende fase van de aanval uit te voeren, waardoor deze veel sluipender is. Eerdere versies waren nodig om een geplande taak in Windows in te stellen. Om de voetafdruk op het systeem te verkleinen, hebben de hackers de lader uitgerust met de mogelijkheid om de volgende fase automatisch op een bepaald tijdstip te activeren. Een ander verschil is dat de nieuwere ArguePatch-versie een officieel uitvoerbaar bestand gebruikt om zichzelf te verbergen. De digitale handtekening van het misbruikte bestand wordt verwijderd en de code ervan wordt overschreven.

Trending

Meest bekeken

Bezig met laden...