Вредоносное ПО ArguePatch использовалось в кибератаках на Украину
Исследователи безопасности обнаружили более активную активность со стороны продвинутой постоянной угрозы Sandworm. Теперь Sandworm использует обновленную версию загрузчика вредоносных программ ArguePatch для атаки на другие цели, расположенные в Украине.
ArguePatch использовался в серии атак на украинские объекты, когда началось вторжение России в соседнюю страну. Наряду с первыми военными действиями на территории Украины связанные с Россией злоумышленники осуществили серию атак с использованием деструктивного вредоносного ПО Wiper, нацеленного на украинские учреждения и использующего инструменты CaddyWiper, HermeticWiper и IsaacWiper. В этих атаках использовалась предыдущая версия вредоносного загрузчика ArguePatch.
Название ArguePatch присвоено CERT Украины. Обновленная версия загрузчика имеет функционал, который позволяет операторам запустить более позднюю стадию атаки в определенное время. Это дополнение позволяет выполнять цепочку атак без необходимости настраивать запланированную задачу с помощью внутренних инструментов Windows и помогает избежать обнаружения.
Обновленный ArguePatch распространяется путем злоупотребления законным исполняемым файлом ESET, у которого удалена цифровая подпись и изменены части кода внутри него.