Malware ArguePatch wykorzystywane w cyberatakach na Ukrainę
Badacze bezpieczeństwa zauważyli większą aktywność ze strony zaawansowanego, trwałego gracza Sandworm. Sandworm używa teraz zaktualizowanej wersji programu ładującego złośliwe oprogramowanie ArguePatch do atakowania większej liczby celów znajdujących się na Ukrainie.
ArguePatch został użyty w serii ataków na ukraińskie podmioty, kiedy rozpoczęła się rosyjska inwazja na sąsiedni kraj. Wraz z pierwszą akcją wojskową na ziemi ukraińskiej, powiązane z Rosją cyberprzestępcy przeprowadzili serię ataków przy użyciu destrukcyjnego złośliwego oprogramowania do wycierania, wymierzonego w instytucje ukraińskie i przy użyciu narzędzi o nazwie CaddyWiper, HermeticWiper i IsaacWiper. Ataki te wykorzystywały poprzednią wersję programu ładującego złośliwe oprogramowanie ArguePatch.
Nazwę ArguePatch nadał ukraiński CERT. Zaktualizowana wersja loadera posiada funkcjonalność pozwalającą operatorom na przeprowadzenie późniejszego etapu ataku w określonym czasie. Ten dodatek sprawia, że łańcuch ataków jest wykonywany bez konieczności konfigurowania zaplanowanego zadania przy użyciu wewnętrznych narzędzi systemu Windows i pomaga uniknąć wykrycia.
Zaktualizowany ArguePatch jest rozpowszechniany przez nadużywanie legalnego pliku wykonywalnego ESET, w którym usunięto podpis cyfrowy i zmieniono fragmenty zawartego w nim kodu.