ウクライナへのサイバー攻撃で使用されるArguePatchマルウェア
セキュリティ研究者は、サンドワームの高度な持続的脅威アクターからのより多くの活動を発見しました。 Sandwormは現在、ArguePatchマルウェアローダーの更新バージョンを使用して、ウクライナにあるより多くのターゲットを攻撃しています。
ArguePatchは、隣国へのロシアの侵略が始まったとき、ウクライナの実体に対する一連の攻撃で使用されました。ウクライナの土壌での最初の軍事行動に加えて、ロシアにリンクされた脅威アクターは、破壊的なワイパーマルウェアを使用し、ウクライナの機関を標的とし、CaddyWiper、HermeticWiper、IsaacWiperという名前のツールを使用して一連の攻撃を阻止しました。これらの攻撃では、以前のバージョンのArguePatchマルウェアローダーが使用されていました。
ArguePatchという名前は、ウクライナのCERTによって割り当てられました。ローダーの更新バージョンには、オペレーターが特定の時間に攻撃の後の段階を実行できるようにする機能があります。この追加により、内部のWindowsツールを使用してスケジュールされたタスクを設定する必要なしに攻撃チェーンが実行され、検出を回避できます。
更新されたArguePatchは、デジタル署名が削除され、その中のコードの一部が変更された正当なESET実行可能ファイルを悪用することによって配布されています。