Malware ArguePatch utilizado en ataques cibernéticos en Ucrania
Los investigadores de seguridad han detectado más actividad del actor de amenazas persistente avanzado Sandworm. Sandworm ahora está usando una versión actualizada del cargador de malware ArguePatch para atacar más objetivos ubicados en Ucrania.
ArguePatch se utilizó en una serie de ataques contra entidades ucranianas cuando comenzó la invasión rusa del país vecino. Junto con la primera acción militar en suelo ucraniano, los actores de amenazas vinculados a Rusia llevaron a cabo una serie de ataques utilizando malware de limpieza destructivo, apuntando a instituciones ucranianas y utilizando herramientas llamadas CaddyWiper, HermeticWiper e IsaacWiper. Esos ataques utilizaron una versión anterior del cargador de malware ArguePatch.
El nombre ArguePatch fue asignado por el CERT de Ucrania. La versión actualizada del cargador tiene una funcionalidad que permite a los operadores ejecutar una etapa posterior del ataque en un momento específico. Esta adición hace que la cadena de ataque se ejecute sin necesidad de configurar una tarea programada usando herramientas internas de Windows y ayuda a evitar la detección.
El ArguePatch actualizado se distribuye abusando de un ejecutable legítimo de ESET al que se le ha quitado su firma digital y se han cambiado partes del código interno.