GooseEgg Malware

Kiberbiztonsági elemzők egy olyan fenyegető eszközt fedeztek fel, amelyet az orosz állam által támogatott hackerek használnak érzékeny hitelesítő adatok megszerzésére a feltört hálózatokon belül. Ez a GooseEgg névre keresztelt rosszindulatú program a Windows Print Spooler szolgáltatáson belüli CVE-2022-38028 néven azonosított sebezhetőséget használja ki, amely a nyomtatási feladatok kezeléséért felelős egy JavaScript megszorító fájl módosításával és RENDSZER szintű engedélyekkel történő végrehajtásával. Az elemzők megjegyzik, hogy úgy tűnik, hogy a GooseEgg kizárólagos tagja az APT (Advanced Persistent Threat) csoportnak, az APT28 néven ismert, és amely az orosz katonai hírszerzési részleghez, a GRU-hoz kapcsolódik.

A megállapítások szerint az APT28 – Fancy Bear és Forest Blizzard néven is ismert – legalább 2020 júniusa óta telepíti ezt a rosszindulatú programot, különféle ágazatokat célozva meg, beleértve az állami intézményeket, civil szervezeteket, oktatási intézményeket és közlekedési egységeket Ukrajnában, Nyugat-Európában és Észak-Amerikában. Amerika.

A GooseEgg malware lehetővé teszi a kiberbűnözők számára, hogy fokozzák támadásukat

Az APT28 célja, hogy a GooseEgg bevezetésével magasabb szintű hozzáférést biztosítson a célrendszerekhez, valamint ellopja a hitelesítő adatokat és az érzékeny információkat. A rendszerint kötegelt szkripttel telepített GooseEgg, annak ellenére, hogy egyszerű indítóalkalmazás, képes más meghatározott alkalmazásokat kezdeményezni emelt szintű jogosultságokkal, a parancssoron keresztüli parancsnak megfelelően. Ez lehetővé teszi a fenyegetés szereplői számára, hogy különféle követési célokat hajtsanak végre, beleértve a távoli kódvégrehajtást, a hátsó ajtók telepítését és az oldalirányú mozgást a veszélyeztetett hálózatokon belül.

A GooseEgg bináris lehetővé teszi a parancsokat a kihasználás aktiválásához és egy dinamikus hivatkozási könyvtár (DLL) vagy egy magasabb jogosultságokkal rendelkező végrehajtható fájl elindításához. Ezenkívül a 'whoami' paranccsal ellenőrzi az exploit sikeres aktiválását.

Bár a Print Spooler biztonsági hibáját 2022-ben kijavították, azoknak a felhasználóknak és szervezeteknek, akik még nem hajtották végre ezeket a javításokat, nyomatékosan javasoljuk, hogy ezt haladéktalanul tegyék meg szervezetük biztonsági helyzetének megerősítése érdekében.

Az APT28 továbbra is a kiberbűnözés főszereplője

Az APT28 feltehetően kapcsolatban áll az Orosz Föderáció katonai hírszerző ügynökségének 26165-ös egységgel, az Orosz Föderáció Fegyveres Erői Főnöksége (GRU) Hírszerzési Főigazgatóságával. Ez a közel 15 éve működő hackercsoport, amelyet a Kreml támogat, elsősorban az orosz kormány külpolitikai céljainak támogatására irányuló hírszerzésre összpontosít.

Korábbi kampányaik során az APT28 hackerek kihasználták a Microsoft Outlook privilégium-eszkalációs sebezhetőségét (CVE-2023-23397) és a WinRAR kódvégrehajtási hibáját (CVE-2023-38831), bizonyítva, hogy képesek gyorsan beépíteni a nyilvános kizsákmányolásokat működésükbe.

A GRU-val kapcsolatban álló hackerek általában a stratégiai hírszerzési eszközökre összpontosítják erőfeszítéseiket, beleértve a kormányzati szerveket, az energiacégeket, a közlekedési ágazatokat és a nem kormányzati szervezeteket a Közel-Keleten, az Egyesült Államokban és Európában. Ezenkívül a kutatók felfigyeltek arra, hogy az APT28 médiákat, információs technológiai cégeket, sportszervezeteket és oktatási intézményeket céloz meg.