ArguePatch Malware brukt i cyberangrep mot Ukraina
Sikkerhetsforskere har oppdaget mer aktivitet fra Sandworm avanserte vedvarende trusselaktør. Sandworm bruker nå en oppdatert versjon av ArguePatch malware loader for å angripe flere mål i Ukraina.
ArguePatch ble brukt i en rekke angrep mot ukrainske enheter siden den russiske invasjonen av nabolandet begynte. Sammen med den første militære aksjonen på ukrainsk jord, gjennomførte russisk-tilknyttede trusselaktører en rekke angrep ved å bruke destruktiv viskerskadelig programvare, rettet mot ukrainske institusjoner og ved å bruke verktøy kalt CaddyWiper, HermeticWiper og IsaacWiper. Disse angrepene brukte en tidligere versjon av ArguePatch malware loader.
Navnet ArguePatch ble tildelt av Ukrainas CERT. Den oppdaterte versjonen av lasteren har funksjonalitet som lar operatører kjøre et senere stadium av angrepet på et bestemt tidspunkt. Dette tillegget gjør at angrepskjeden utføres uten behov for å sette opp en planlagt oppgave ved hjelp av interne Windows-verktøy og hjelper til med å unngå oppdagelse.
Den oppdaterte ArguePatch distribueres ved å misbruke en legitim kjørbar ESET-fil som har fått sin digitale signatur fjernet og deler av koden inne i den endret.