ArguePatch

Skupina Sandworm APT (Advanced Persistent Threat) rozšírila svoj hrozivý arzenál o novú verziu svojho načítacieho malvéru známeho ako ArguePatch. Predpokladá sa, že Sandworm stojí za niektorými z najničivejších útočných operácií. Od začiatku vojny na Ukrajine sa skupina zameriavala najmä na ciele v rámci krajiny.

Nakladač ArguePatch bol nasadený ako súčasť reťazca útokov Industroyer2. Hrozba Industroyer2 môže ohroziť priemyselné riadiace systémy (ICS) a môže byť zneužitá proti ukrajinskému poskytovateľovi energie, aby narušil energetickú sieť krajiny. Okrem toho bol ArguePatch nasadený pri mnohých útokoch, ktoré prinášajú malvér CaddyWiper na vymazávanie údajov.

Novú verziu ArguePatch analyzovali výskumníci kybernetickej bezpečnosti a odhalili ju verejnosti v novej správe. Podľa zistení expertov vylepšenie ArguePatch používa inú techniku na vykonanie ďalšej fázy útoku, vďaka čomu je oveľa nenápadnejšie. Staršie verzie potrebovali nastaviť plánovanú úlohu v systéme Windows. Aby sa zmenšila stopa na systéme, hackeri vybavili nakladač schopnosťou automaticky aktivovať ďalšiu fázu v určenom čase. Ďalším rozdielom je, že novšia verzia ArguePatch využíva oficiálny spustiteľný súbor, aby sa skryla. Digitálny podpis zneužitého súboru sa odstráni a jeho kód sa prepíše.