ArguePatch-Malware, die bei Cyberangriffen auf die Ukraine verwendet wird
Sicherheitsforscher haben weitere Aktivitäten des Advanced Persistent Threat Actor Sandworm entdeckt. Sandworm verwendet jetzt eine aktualisierte Version des Malware-Loaders ArguePatch, um mehr Ziele in der Ukraine anzugreifen.
ArguePatch wurde in einer Reihe von Angriffen gegen ukrainische Einheiten verwendet, als die russische Invasion des Nachbarlandes begann. Zusammen mit der ersten Militäraktion auf ukrainischem Boden führten mit Russland verbundene Bedrohungsakteure eine Reihe von Angriffen mit zerstörerischer Wiper-Malware durch, die auf ukrainische Institutionen abzielten und Tools namens CaddyWiper, HermeticWiper und IsaacWiper verwendeten. Diese Angriffe verwendeten eine frühere Version des Malware-Loaders ArguePatch.
Der Name ArguePatch wurde vom ukrainischen CERT vergeben. Die aktualisierte Version des Ladeprogramms verfügt über Funktionen, die es den Betreibern ermöglichen, eine spätere Phase des Angriffs zu einem bestimmten Zeitpunkt auszuführen. Diese Ergänzung sorgt dafür, dass die Angriffskette ausgeführt wird, ohne dass eine geplante Aufgabe mit internen Windows-Tools eingerichtet werden muss, und hilft, eine Erkennung zu vermeiden.
Der aktualisierte ArguePatch wird durch Missbrauch einer legitimen ausführbaren ESET-Datei verbreitet, deren digitale Signatur entfernt und Teile des darin enthaltenen Codes geändert wurden.