Az Ukrajna elleni kibertámadásokban használt ArguePatch rosszindulatú program

A biztonsági kutatók több tevékenységet észleltek a Sandworm továbbfejlesztett, állandó fenyegetési szereplőjétől. A Sandworm most az ArguePatch kártevő-betöltő frissített verzióját használja, hogy több Ukrajnában található célpontot támadjon meg.

Az ArguePatch-et ukrán entitások elleni támadások sorozatában használták még akkor, amikor az orosz invázió megkezdődött a szomszédos ország ellen. Az ukrán földön végrehajtott első katonai akcióval párhuzamosan az oroszokhoz köthető fenyegetés szereplői támadássorozatot hajtottak végre pusztító ablaktörlő rosszindulatú programokkal, amelyek ukrán intézményeket vettek célba, és CaddyWiper, HermeticWiper és IsaacWiper nevű eszközöket használtak. Ezek a támadások az ArguePatch rosszindulatú programbetöltő korábbi verzióját használták.

Az ArguePatch nevet az ukrán CERT adta. A betöltő frissített verziója olyan funkciókkal rendelkezik, amelyek lehetővé teszik a kezelők számára, hogy a támadás egy későbbi szakaszát egy adott időpontban futtatják. Ez a kiegészítés lehetővé teszi a támadási lánc végrehajtását anélkül, hogy ütemezett feladatot kellene beállítani a belső Windows-eszközök segítségével, és segít elkerülni az észlelést.

A frissített ArguePatch terjesztése egy legitim ESET végrehajtható fájllal való visszaéléssel történik, amelynek digitális aláírását eltávolították, és a benne lévő kód egyes részeit megváltoztatták.