Malware GooseEgg

Analytici kybernetické bezpečnosti objevili hrozivý nástroj používaný ruskými státem podporovanými hackery k získání citlivých přihlašovacích údajů v kompromitovaných sítích. Tento malware, nazývaný GooseEgg, těží ze zranitelnosti označené jako CVE-2022-38028 ve službě Windows Print Spooler, která je zodpovědná za správu tiskových úloh změnou souboru omezení JavaScriptu a jeho spouštěním s oprávněními na úrovni SYSTÉMU. Analytici poznamenávají, že GooseEgg se zdá být exkluzivně pro skupinu APT (Advanced Persistent Threat) známou jako APT28 , která je přidružena k ruské vojenské rozvědce GRU.

Podle zjištění APT28 – také známý jako Fancy Bear a Forest Blizzard – nasazuje tento malware minimálně od června 2020 a zaměřuje se na různé sektory, včetně státních institucí, nevládních organizací, vzdělávacích zařízení a dopravních subjektů po celé Ukrajině, západní Evropě a severu. Amerika.

Malware GooseEgg umožňuje kyberzločincům eskalovat jejich útok

APT28 si klade za cíl dosáhnout zvýšeného přístupu k cílovým systémům a krádežím přihlašovacích údajů a citlivých informací prostřednictvím nasazení GooseEgg. GooseEgg, který je obvykle nasazen pomocí dávkového skriptu, přestože je to jednoduchá spouštěcí aplikace, má schopnost spouštět další určené aplikace se zvýšenými oprávněními, jak je přikázáno z příkazového řádku. To umožňuje aktérům hrozeb sledovat různé následné cíle, včetně vzdáleného spouštění kódu, instalace backdoor a laterálního pohybu v ohrožených sítích.

Binární soubor GooseEgg usnadňuje příkazy k aktivaci exploitu a spuštění poskytnuté dynamické knihovny (DLL) nebo spustitelného souboru se zvýšenými oprávněními. Navíc ověřuje úspěšnou aktivaci exploitu pomocí příkazu „whoami“.

Přestože bezpečnostní chyba v tiskovém zařazovacím programu byla opravena v roce 2022, uživatelům a organizacím, kteří tyto opravy ještě neimplementovali, důrazně doporučujeme, aby tak učinili co nejdříve a posílili tak bezpečnostní pozici své organizace.

APT28 zůstává klíčovým hrozbou na scéně počítačové kriminality

Předpokládá se, že APT28 má vazby na jednotku 26165 Vojenské zpravodajské služby Ruské federace, Hlavní zpravodajské ředitelství Generálního štábu Ozbrojených sil Ruské federace (GRU). Tato hackerská skupina, podporovaná Kremlem, funguje téměř 15 let a zaměřuje se především na shromažďování zpravodajských informací na podporu zahraničněpolitických cílů ruské vlády.

V minulých kampaních hackeři APT28 využili zranitelnosti eskalace oprávnění v aplikaci Microsoft Outlook (CVE-2023-23397) a chyby ve spuštění kódu ve WinRAR (CVE-2023-38831), což prokázalo jejich schopnost rychle začlenit veřejné exploity do svých operací.

Hackeři přidružení ke GRU obvykle zaměřují své úsilí na strategická zpravodajská aktiva, včetně vládních subjektů, energetických firem, dopravních sektorů a nevládních organizací na Středním východě, v USA a Evropě. Výzkumníci navíc zaznamenali případy, kdy APT28 cílí na média, firmy v oblasti informačních technologií, sportovní organizace a vzdělávací instituce.