ArguePatch

Le groupe Sandworm APT (Advanced Persistent Threat) a élargi son arsenal menaçant avec une nouvelle version de leur malware de chargement connu sous le nom d'ArguePatch. On pense que Sandworm est à l'origine de certaines des opérations d'attaque les plus perturbatrices. Depuis le début de la guerre en Ukraine, le groupe s'est concentré sur des cibles à l'intérieur du pays en particulier.

Le chargeur ArguePatch a été déployé dans le cadre de la chaîne d'attaque Industroyer2. La menace Industroyer2 peut compromettre les systèmes de contrôle industriel (ICS) et être exploitée contre un fournisseur d'énergie ukrainien pour perturber le réseau énergétique du pays. De plus, ArguePatch a été déployé dans de nombreuses attaques délivrant le logiciel malveillant d'effacement de données CaddyWiper .

La nouvelle version d'ArguePatch a été analysée par des chercheurs en cybersécurité et révélée au public dans un nouveau rapport. Selon les conclusions des experts, l'amélioration ArguePatch utilise une technique différente pour exécuter la prochaine étape de l'attaque, la rendant beaucoup plus furtive. Les versions antérieures nécessitaient de configurer une tâche planifiée dans Windows. Pour réduire l'empreinte sur le système, les pirates ont équipé le chargeur de la possibilité d'activer automatiquement l'étape suivante à une heure spécifiée. Une autre différence est que la nouvelle version d'ArguePatch exploite un exécutable officiel pour se cacher. La signature numérique du fichier abusé est supprimée et son code est écrasé.