ArguePatch

Группа Sandworm APT (Advanced Persistent Threat) расширила свой угрожающий арсенал новой версией своей вредоносной программы-загрузчика, известной как ArguePatch. Считается, что Sandworm стоит за некоторыми из самых разрушительных атак. С началом войны в Украине группа была сосредоточена на целях, в частности, внутри страны.

Загрузчик ArguePatch был развернут как часть цепочки атаки Industroyer2. Угроза Industroyer2 может поставить под угрозу промышленные системы управления (ICS) и быть использована против украинского поставщика энергии для нарушения энергосистемы страны. Кроме того, ArguePatch использовался во многих атаках с использованием вредоносного ПО CaddyWiper для удаления данных .

Исследователи кибербезопасности проанализировали новую версию ArguePatch и представили ее общественности в новом отчете. Согласно выводам экспертов, улучшение ArguePatch использует другую технику для выполнения следующего этапа атаки, что делает его гораздо более скрытным. В более ранних версиях требовалось настроить запланированное задание в Windows. Чтобы уменьшить нагрузку на систему, хакеры снабдили загрузчик возможностью автоматически активировать следующий этап в указанное время. Еще одно отличие состоит в том, что более новая версия ArguePatch использует официальный исполняемый файл, чтобы скрыть себя. Цифровая подпись поврежденного файла удаляется, а его код перезаписывается.