ArguePatch Malware gebruikt bij cyberaanvallen op Oekraïne
Beveiligingsonderzoekers hebben meer activiteit opgemerkt van de geavanceerde persistente bedreigingsacteur van Sandworm. Sandworm gebruikt nu een bijgewerkte versie van de ArguePatch-malwarelader om meer doelen in Oekraïne aan te vallen.
ArguePatch werd gebruikt in een reeks aanvallen op Oekraïense entiteiten toen de Russische invasie van het buurland begon. Samen met de eerste militaire actie op Oekraïense bodem, voerden Russisch-gelinkte dreigingsactoren een reeks aanvallen uit met behulp van destructieve wiper-malware, gericht op Oekraïense instellingen en met behulp van tools genaamd CaddyWiper, HermeticWiper en IsaacWiper. Die aanvallen maakten gebruik van een eerdere versie van de ArguePatch-malwareloader.
De naam ArguePatch is toegekend door het Oekraïense CERT. De bijgewerkte versie van de loader heeft functionaliteit waarmee operators een later stadium van de aanval op een bepaald tijdstip kunnen uitvoeren. Deze toevoeging zorgt ervoor dat de aanvalsketen wordt uitgevoerd zonder dat er een geplande taak hoeft te worden ingesteld met behulp van interne Windows-tools en helpt detectie te voorkomen.
De bijgewerkte ArguePatch wordt gedistribueerd door misbruik te maken van een legitiem ESET-uitvoerbaar bestand waarvan de digitale handtekening is verwijderd en delen van de code erin zijn gewijzigd.
