ArguePatch

Grupul Sandworm APT (Advanced Persistent Threat) și-a extins arsenalul amenințător cu o nouă versiune a programelor malware de încărcare cunoscută sub numele de ArguePatch. Se crede că Sandworm se află în spatele unora dintre cele mai perturbatoare operațiuni de atac. De la începutul războiului din Ucraina, grupul s-a concentrat în special asupra țintelor din țară.

Încărcătorul ArguePatch a fost implementat ca parte a lanțului de atac Industroyer2. Amenințarea Industroyer2 poate compromite sistemele de control industrial (ICS) și poate fi folosită împotriva unui furnizor de energie ucrainean pentru a perturba rețeaua energetică a țării. În plus, ArguePatch a fost implementat în numeroase atacuri care furnizează programul malware de ștergere a datelor CaddyWiper .

Noua versiune a ArguePatch a fost analizată de cercetătorii în domeniul securității cibernetice și dezvăluită publicului într-un nou raport. Conform constatărilor experților, îmbunătățirea ArguePatch folosește o tehnică diferită pentru a executa următoarea etapă a atacului, făcându-l mult mai ascuns. Versiunile anterioare erau necesare pentru a configura o sarcină programată în Windows. Pentru a reduce amprenta pe sistem, hackerii au echipat încărcătorul cu capacitatea de a activa automat următoarea etapă la un moment specificat. O altă diferență este că versiunea mai nouă ArguePatch exploatează un executabil oficial pentru a se ascunde. Semnătura digitală a fișierului abuzat este eliminată și codul acestuia este suprascris.