GooseEgg Malware

Cybersikkerhedsanalytikere har opdaget et truende værktøj, der bruges af russiske statsstøttede hackere til at opnå følsomme legitimationsoplysninger inden for kompromitterede netværk. Kaldt GooseEgg, denne malware udnytter en sårbarhed identificeret som CVE-2022-38028 i Windows Print Spooler-tjenesten, ansvarlig for styring af udskrivningsopgaver ved at ændre en JavaScript-begrænsningsfil og eksekvere den med tilladelser på SYSTEM-niveau. Analytikere bemærker, at GooseEgg ser ud til at være eksklusiv for en APT-gruppe (Advanced Persistent Threat) kendt som APT28 , tilknyttet Ruslands militære efterretningsafdeling, GRU.

Ifølge resultaterne har APT28 – også anerkendt som Fancy Bear og Forest Blizzard – implementeret denne malware siden mindst juni 2020, rettet mod forskellige sektorer, herunder statsinstitutioner, ngo'er, uddannelsesinstitutioner og transportenheder i hele Ukraine, Vesteuropa og Norden. Amerika.

GooseEgg-malwaren tillader cyberkriminelle at eskalere deres angreb

APT28 sigter mod at opnå forhøjet adgang til målsystemer og tyverilegitimationsoplysninger og følsomme oplysninger gennem implementeringen af GooseEgg. GooseEgg, som typisk er implementeret med et batch-script, har, på trods af at det er et simpelt startprogram, evnen til at starte andre specificerede applikationer med forhøjede tilladelser, som kommanderet via kommandolinjen. Dette gør det muligt for trusselsaktører at forfølge forskellige opfølgende mål, herunder fjernudførelse af kode, bagdørsinstallation og lateral bevægelse inden for kompromitterede netværk.

GooseEgg binæren letter kommandoer til at aktivere udnyttelsen og starte enten et givet dynamisk linkbibliotek (DLL) eller en eksekverbar med forhøjede rettigheder. Derudover verificerer den den vellykkede aktivering af udnyttelsen ved hjælp af 'whoami'-kommandoen.

Selvom sikkerhedsfejlen i Print Spooler blev rettet i 2022, rådes brugere og organisationer, der endnu ikke har implementeret disse rettelser, til at gøre det omgående for at styrke deres organisations sikkerhedsposition.

APT28 forbliver en central trusselskuespiller på cyberkriminalitetsscenen

APT28 menes at have forbindelser til enhed 26165 i Den Russiske Føderations militære efterretningsagentur, Hovedefterretningsdirektoratet for Generalstaben for de væbnede styrker i Den Russiske Føderation (GRU). Denne hackergruppe, der har fungeret i næsten 15 år, fokuserer primært på efterretningsindsamling for at støtte den russiske regerings udenrigspolitiske mål.

I tidligere kampagner har APT28-hackere udnyttet en privilegie-eskaleringssårbarhed i Microsoft Outlook (CVE-2023-23397) og en kodeeksekveringsfejl i WinRAR (CVE-2023-38831), hvilket demonstrerer deres evne til hurtigt at inkorporere offentlige udnyttelser i deres operationer.

Hackerne, der er tilknyttet GRU, fokuserer typisk deres indsats på strategiske efterretningsaktiver, herunder statslige enheder, energiselskaber, transportsektorer og ikke-statslige organisationer i hele Mellemøsten, USA og Europa. Derudover har forskere bemærket tilfælde af APT28 rettet mod medier, informationsteknologifirmaer, sportsorganisationer og uddannelsesinstitutioner.