Κακόβουλο λογισμικό ArguePatch που χρησιμοποιείται σε επιθέσεις στον κυβερνοχώρο στην Ουκρανία
Οι ερευνητές ασφαλείας έχουν εντοπίσει περισσότερη δραστηριότητα από τον προηγμένο παράγοντα επίμονης απειλής Sandworm. Το Sandworm χρησιμοποιεί τώρα μια ενημερωμένη έκδοση του προγράμματος φόρτωσης κακόβουλου λογισμικού ArguePatch για να επιτεθεί σε περισσότερους στόχους που βρίσκονται στην Ουκρανία.
Το ArguePatch χρησιμοποιήθηκε σε μια σειρά επιθέσεων εναντίον ουκρανικών οντοτήτων όταν ξεκίνησε η ρωσική εισβολή στη γειτονική χώρα. Μαζί με την πρώτη στρατιωτική δράση στο ουκρανικό έδαφος, οι συνδεδεμένοι με τη Ρωσία παράγοντες απειλών πραγματοποίησαν μια σειρά επιθέσεων χρησιμοποιώντας καταστροφικό κακόβουλο λογισμικό υαλοκαθαριστήρων, στοχεύοντας ουκρανικά ιδρύματα και χρησιμοποιώντας εργαλεία που ονομάζονται CaddyWiper, HermeticWiper και IsaacWiper. Αυτές οι επιθέσεις χρησιμοποιούσαν μια προηγούμενη έκδοση του προγράμματος φόρτωσης κακόβουλου λογισμικού ArguePatch.
Το όνομα ArguePatch εκχωρήθηκε από το CERT της Ουκρανίας. Η ενημερωμένη έκδοση του φορτωτή έχει λειτουργικότητα που επιτρέπει στους χειριστές να εκτελέσουν ένα μεταγενέστερο στάδιο της επίθεσης σε μια συγκεκριμένη στιγμή. Αυτή η προσθήκη κάνει την αλυσίδα επίθεσης να εκτελείται χωρίς να χρειάζεται να ρυθμίσετε μια προγραμματισμένη εργασία χρησιμοποιώντας εσωτερικά εργαλεία των Windows και βοηθά στην αποφυγή εντοπισμού.
Το ενημερωμένο ArguePatch διανέμεται με κατάχρηση ενός νόμιμου εκτελέσιμου αρχείου ESET του οποίου έχει αφαιρεθεί η ψηφιακή υπογραφή και άλλαξαν τμήματα του κώδικα μέσα σε αυτό.