Malware ArguePatch utilizzato negli attacchi informatici all'Ucraina
I ricercatori di sicurezza hanno individuato più attività da parte dell'avanzato attore di minacce persistenti Sandworm. Sandworm sta ora utilizzando una versione aggiornata del caricatore di malware ArguePatch per attaccare più obiettivi situati in Ucraina.
ArguePatch è stato utilizzato in una serie di attacchi contro entità ucraine quando iniziò l'invasione russa del paese vicino. Insieme alla prima azione militare sul suolo ucraino, gli attori delle minacce collegate alla Russia hanno portato a termine una serie di attacchi utilizzando malware wiper distruttivo, prendendo di mira le istituzioni ucraine e utilizzando strumenti chiamati CaddyWiper, HermeticWiper e IsaacWiper. Questi attacchi utilizzavano una versione precedente del caricatore di malware ArguePatch.
Il nome ArguePatch è stato assegnato dal CERT ucraino. La versione aggiornata del caricatore ha funzionalità che consentono agli operatori di eseguire una fase successiva dell'attacco in un momento specifico. Questa aggiunta consente di eseguire la catena di attacco senza la necessità di impostare un'attività pianificata utilizzando gli strumenti interni di Windows e aiuta a evitare il rilevamento.
L'ArguePatch aggiornato viene distribuito abusando di un eseguibile ESET legittimo a cui è stata rimossa la firma digitale e parti del codice al suo interno sono state modificate.