ArguePatch
Група Sandworm APT (Advanced Persistent Threat) розширила свій арсенал загроз новою версією свого шкідливого програмного забезпечення, відомого як ArguePatch. Вважається, що Sandworm стоїть за одними з найбільш руйнівних нападів. З початку війни в Україні група була зосереджена на цілях, зокрема всередині країни.
Завантажувач ArguePatch був розгорнутий як частина ланцюга атаки Industroyer2. Загроза Industroyer2 може поставити під загрозу системи промислового контролю (ICS) і використовувати її проти українського постачальника енергії, щоб порушити енергетичну мережу країни. Крім того, ArguePatch був розгорнутий у численних атаках, які доставляли зловмисне програмне забезпечення для видалення даних CaddyWiper .
Нова версія ArguePatch була проаналізована дослідниками кібербезпеки та розкрита громадськості в новому звіті. Згідно з висновками експертів, удосконалення ArguePatch використовує іншу техніку для виконання наступного етапу атаки, що робить її набагато більш схованою. Попередні версії потребували налаштування запланованого завдання в Windows. Щоб зменшити вплив на систему, хакери оснастили завантажувача можливістю автоматично активувати наступний етап у визначений час. Інша відмінність полягає в тому, що новіша версія ArguePatch використовує офіційний виконуваний файл, щоб приховати себе. Цифровий підпис зловживаного файлу видаляється, а його код перезаписується.
