ArguePatch

Die Gruppe Sandworm APT (Advanced Persistent Threat) hat ihr Bedrohungsarsenal um eine neue Version ihrer Loader-Malware namens ArguePatch erweitert. Es wird angenommen, dass Sandworm hinter einigen der störendsten Angriffsoperationen steckt. Seit Beginn des Krieges in der Ukraine konzentriert sich die Gruppe vor allem auf Ziele innerhalb des Landes.

Der ArguePatch-Loader wurde als Teil der Industroyer2-Angriffskette eingesetzt. Die Industroyer2-Bedrohung kann industrielle Steuerungssysteme (ICS) kompromittieren und gegen einen ukrainischen Energieversorger eingesetzt werden, um das Energienetz des Landes zu stören. Darüber hinaus wurde ArguePatch bei zahlreichen Angriffen eingesetzt, bei denen die datenlöschende Malware CaddyWiper bereitgestellt wurde.

Die neue Version von ArguePatch wurde von Cybersicherheitsforschern analysiert und in einem neuen Bericht der Öffentlichkeit vorgestellt. Die Weiterentwicklung ArguePatch nutzt nach Erkenntnissen der Experten eine andere Technik, um die nächste Stufe des Angriffs auszuführen, was ihn wesentlich heimlicher macht. Frühere Versionen mussten eine geplante Aufgabe in Windows einrichten. Um den Fußabdruck auf dem System zu reduzieren, haben die Hacker den Loader mit der Fähigkeit ausgestattet, die nächste Stufe zu einem bestimmten Zeitpunkt automatisch zu aktivieren. Ein weiterer Unterschied besteht darin, dass die neuere ArguePatch-Version eine offizielle ausführbare Datei ausnutzt, um sich zu verstecken. Die digitale Signatur der missbrauchten Datei wird entfernt und ihr Code wird überschrieben.