មេរោគ GooseEgg

អ្នកវិភាគសុវត្ថិភាពតាមអ៊ីនធឺណិតបានរកឃើញឧបករណ៍គំរាមកំហែងដែលប្រើប្រាស់ដោយពួក Hacker ដែលគាំទ្រដោយរដ្ឋរបស់រុស្ស៊ី ដើម្បីទទួលបានព័ត៌មានសម្ងាត់ដ៏រសើបនៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួល។ ដែលមានឈ្មោះថា GooseEgg មេរោគនេះបង្កើតជាអក្សរធំលើភាពងាយរងគ្រោះដែលត្រូវបានកំណត់ថាជា CVE-2022-38028 នៅក្នុងសេវាកម្ម Windows Print Spooler ដែលទទួលខុសត្រូវក្នុងការគ្រប់គ្រងកិច្ចការបោះពុម្ពដោយផ្លាស់ប្តូរឯកសារកំណត់ JavaScript និងដំណើរការវាដោយមានការអនុញ្ញាតកម្រិតប្រព័ន្ធ។ អ្នកវិភាគកត់សម្គាល់ថា GooseEgg ហាក់ដូចជាផ្តាច់មុខចំពោះក្រុម APT (Advanced Persistent Threat) ដែលគេស្គាល់ថា APT28 ដែលមានទំនាក់ទំនងជាមួយអាវុធចារកម្មយោធារបស់រុស្ស៊ី GRU ។

យោងតាមការរកឃើញ APT28 - ត្រូវបានគេទទួលស្គាល់ថាជា Fancy Bear និង Forest Blizzard - បានដាក់ពង្រាយមេរោគនេះចាប់តាំងពីយ៉ាងហោចណាស់ខែមិថុនា ឆ្នាំ 2020 ដោយផ្តោតលើវិស័យផ្សេងៗ រួមទាំងស្ថាប័នរដ្ឋ អង្គការក្រៅរដ្ឋាភិបាល គ្រឹះស្ថានអប់រំ និងអង្គភាពដឹកជញ្ជូននៅទូទាំងប្រទេសអ៊ុយក្រែន អឺរ៉ុបខាងលិច និងខាងជើង។ អាមេរិក។

មេរោគ GooseEgg អនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបង្កើនការវាយប្រហាររបស់ពួកគេ។

APT28 មានគោលបំណងដើម្បីសម្រេចបាននូវការចូលទៅកាន់ប្រព័ន្ធគោលដៅ និងព័ត៌មានសម្ងាត់ដែលលួចលាក់ និងព័ត៌មានរសើបតាមរយៈការដាក់ពង្រាយ GooseEgg ។ ជាធម្មតាត្រូវបានដាក់ពង្រាយជាមួយស្គ្រីបបាច់ GooseEgg ទោះបីជាជាកម្មវិធីបើកដំណើរការធម្មតាក៏ដោយ មានសមត្ថភាពផ្តួចផ្តើមកម្មវិធីដែលបានបញ្ជាក់ផ្សេងទៀតដោយមានការអនុញ្ញាតខ្ពស់ ដូចដែលបានបញ្ជាតាមរយៈបន្ទាត់ពាក្យបញ្ជា។ នេះអនុញ្ញាតឱ្យតួអង្គគម្រាមកំហែងអាចបន្តគោលបំណងបន្តបន្ទាប់គ្នា រួមទាំងការប្រតិបត្តិលេខកូដពីចម្ងាយ ការដំឡើង backdoor និងចលនានៅពេលក្រោយនៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួល។

គោលពីរ GooseEgg សម្របសម្រួលពាក្យបញ្ជាដើម្បីធ្វើឱ្យការកេងប្រវ័ញ្ចសកម្ម និងបើកដំណើរការបណ្ណាល័យតំណថាមវន្ត (DLL) ដែលបានផ្ដល់ឱ្យ ឬអាចប្រតិបត្តិបានជាមួយនឹងសិទ្ធិកើនឡើង។ លើសពីនេះទៀត វាផ្ទៀងផ្ទាត់ការធ្វើឱ្យសកម្មជោគជ័យនៃការកេងប្រវ័ញ្ចដោយប្រើពាក្យបញ្ជា 'whoami' ។

ទោះបីជាកំហុសផ្នែកសុវត្ថិភាពនៅក្នុង Print Spooler ត្រូវបានជួសជុលនៅឆ្នាំ 2022 ក៏ដោយ អ្នកប្រើប្រាស់ និងអង្គការដែលមិនទាន់អនុវត្តការជួសជុលទាំងនេះ ត្រូវបានណែនាំយ៉ាងខ្លាំងឱ្យធ្វើដូច្នេះភ្លាមៗ ដើម្បីពង្រឹងស្ថានភាពសុវត្ថិភាពរបស់ស្ថាប័នពួកគេ។

APT28 នៅតែជាតួអង្គគំរាមកំហែងដ៏សំខាន់នៅលើឈុតឆាកឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត

APT28 ត្រូវបានគេជឿថាមានទំនាក់ទំនងជាមួយអង្គភាពលេខ 26165 នៃទីភ្នាក់ងារស៊ើបការណ៍យោធារបស់សហព័ន្ធរុស្ស៊ី អគ្គនាយកស៊ើបការណ៍សម្ងាត់នៃអគ្គសេនាធិការនៃកងកម្លាំងប្រដាប់អាវុធនៃសហព័ន្ធរុស្ស៊ី (GRU) ។ ប្រតិបត្តិការអស់រយៈពេលជិត 15 ឆ្នាំ ក្រុមលួចចូលនេះ គាំទ្រដោយវិមានក្រឹមឡាំង ផ្តោតជាចម្បងលើការប្រមូលផ្តុំស៊ើបការណ៍ ដើម្បីគាំទ្រដល់គោលដៅគោលនយោបាយការបរទេសរបស់រដ្ឋាភិបាលរុស្ស៊ី។

នៅក្នុងយុទ្ធនាការកន្លងមក ពួក Hacker APT28 បានទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះនៃការកើនឡើងសិទ្ធិនៅក្នុង Microsoft Outlook (CVE-2023-23397) និងកំហុសនៃការប្រតិបត្តិកូដនៅក្នុង WinRAR (CVE-2023-38831) ដោយបង្ហាញពីសមត្ថភាពរបស់ពួកគេក្នុងការបញ្ចូលការកេងប្រវ័ញ្ចសាធារណៈទៅក្នុងប្រតិបត្តិការរបស់ពួកគេយ៉ាងឆាប់រហ័ស។

ពួក Hacker ដែលមានទំនាក់ទំនងជាមួយ GRU ជាធម្មតាផ្តោតការខិតខំប្រឹងប្រែងរបស់ពួកគេលើទ្រព្យសម្បត្តិស៊ើបការណ៍យុទ្ធសាស្ត្រ រួមទាំងអង្គភាពរដ្ឋាភិបាល ក្រុមហ៊ុនថាមពល វិស័យដឹកជញ្ជូន និងអង្គការមិនមែនរដ្ឋាភិបាលនៅទូទាំងមជ្ឈឹមបូព៌ា សហរដ្ឋអាមេរិក និងអឺរ៉ុប។ លើសពីនេះទៀត អ្នកស្រាវជ្រាវបានកត់សម្គាល់ឧទាហរណ៍នៃ APT28 ដែលផ្តោតលើប្រព័ន្ធផ្សព្វផ្សាយ ក្រុមហ៊ុនបច្ចេកវិទ្យាព័ត៌មាន អង្គការកីឡា និងស្ថាប័នអប់រំ។