Logiciel malveillant ArguePatch utilisé dans les cyberattaques contre l'Ukraine

Les chercheurs en sécurité ont repéré plus d'activité de l'acteur avancé de menace persistante Sandworm. Sandworm utilise désormais une version mise à jour du chargeur de logiciels malveillants ArguePatch pour attaquer davantage de cibles situées en Ukraine.

ArguePatch a été utilisé dans une série d'attaques contre des entités ukrainiennes au début de l'invasion russe du pays voisin. Parallèlement à la première action militaire sur le sol ukrainien, des acteurs de la menace liés à la Russie ont lancé une série d'attaques utilisant des logiciels malveillants d'effacement destructeurs, ciblant les institutions ukrainiennes et utilisant des outils nommés CaddyWiper, HermeticWiper et IsaacWiper. Ces attaques utilisaient une version précédente du chargeur de logiciels malveillants ArguePatch.

Le nom ArguePatch a été attribué par le CERT ukrainien. La version mise à jour du chargeur a une fonctionnalité qui permet aux opérateurs d'exécuter une étape ultérieure de l'attaque à un moment précis. Cet ajout permet à la chaîne d'attaque de s'exécuter sans qu'il soit nécessaire de configurer une tâche planifiée à l'aide d'outils Windows internes et permet d'éviter la détection.

Le ArguePatch mis à jour est distribué en abusant d'un exécutable ESET légitime dont la signature numérique a été supprimée et des parties du code qu'il contient ont été modifiées.