ArguePatch

Nhóm Sandworm APT (Mối đe dọa liên tục nâng cao) đã mở rộng kho vũ khí đe dọa của mình với một phiên bản mới của phần mềm độc hại trong trình tải của họ được gọi là ArguePatch. Sandworm được cho là đứng sau một số hoạt động tấn công gây rối loạn nhất. Kể từ khi bắt đầu cuộc chiến ở Ukraine, nhóm này đã đặc biệt tập trung vào các mục tiêu trong nước.

Trình tải ArguePatch đã được triển khai như một phần của chuỗi tấn công Industroyer2. Mối đe dọa Industroyer2 có thể làm tổn hại đến các hệ thống kiểm soát công nghiệp (ICS) và được sử dụng để chống lại một nhà cung cấp năng lượng Ukraine để phá vỡ mạng lưới năng lượng của đất nước. Ngoài ra, ArguePatch đã được triển khai trong nhiều cuộc tấn công bằng cách sử dụng phần mềm độc hại xóa dữ liệu CaddyWiper .

Phiên bản mới của ArguePatch đã được các nhà nghiên cứu an ninh mạng phân tích và tiết lộ cho công chúng trong một báo cáo mới. Theo phát hiện của các chuyên gia, ArguePatch cải tiến sử dụng một kỹ thuật khác để thực hiện giai đoạn tiếp theo của cuộc tấn công, làm cho nó tàng hình hơn nhiều. Các phiên bản trước đó cần thiết để thiết lập một tác vụ đã lên lịch trong Windows. Để giảm dấu vết trên hệ thống, tin tặc đã trang bị cho bộ nạp khả năng tự động kích hoạt giai đoạn tiếp theo tại một thời điểm xác định. Một điểm khác biệt nữa là phiên bản ArguePatch mới hơn khai thác một tệp thực thi chính thức để ẩn chính nó. Chữ ký điện tử của tệp bị lạm dụng sẽ bị xóa và mã của nó bị ghi đè.