GooseEgg Malware

Cybersikkerhetsanalytikere har oppdaget et truende verktøy som brukes av russiske statsstøttede hackere for å få sensitiv legitimasjon innenfor kompromitterte nettverk. Kalt GooseEgg, denne skadevare utnytter en sårbarhet identifisert som CVE-2022-38028 i Windows Print Spooler-tjenesten, ansvarlig for å administrere utskriftsoppgaver ved å endre en JavaScript-begrensningsfil og utføre den med tillatelser på SYSTEM-nivå. Analytikere bemerker at GooseEgg ser ut til å være eksklusiv for en APT-gruppe (Advanced Persistent Threat) kjent som APT28 , tilknyttet Russlands militære etterretningsarm, GRU.

I følge funnene har APT28 – også anerkjent som Fancy Bear og Forest Blizzard – distribuert denne skadevare siden minst juni 2020, rettet mot ulike sektorer, inkludert statlige institusjoner, frivillige organisasjoner, utdanningsinstitusjoner og transportenheter over hele Ukraina, Vest-Europa og Nord. Amerika.

GooseEgg-malwaren lar nettkriminelle eskalere angrepet

APT28 har som mål å oppnå økt tilgang til målsystemer og tyverilegitimasjon og sensitiv informasjon gjennom distribusjon av GooseEgg. Vanligvis distribuert med et batch-skript, har GooseEgg, til tross for at det er et enkelt oppstartsprogram, muligheten til å starte andre spesifiserte applikasjoner med forhøyede tillatelser, som kommandert via kommandolinjen. Dette gjør det mulig for trusselaktører å forfølge ulike oppfølgingsmål, inkludert ekstern kjøring av kode, bakdørsinstallasjon og sideveis bevegelse innenfor kompromitterte nettverk.

GooseEgg-binæren letter kommandoer for å aktivere utnyttelsen og starte enten et gitt dynamisk koblingsbibliotek (DLL) eller en kjørbar fil med forhøyede rettigheter. I tillegg verifiserer den vellykket aktivering av utnyttelsen ved å bruke 'whoami'-kommandoen.

Selv om sikkerhetsfeilen i Print Spooler ble rettet i 2022, anbefales brukere og organisasjoner som ennå ikke har implementert disse rettelsene på det sterkeste å gjøre det umiddelbart for å styrke organisasjonens sikkerhetsposisjon.

APT28 er fortsatt en sentral trusselaktør på nettkrimscenen

APT28 antas å ha bånd med enhet 26165 i den russiske føderasjonens militære etterretningsbyrå, hovedetterretningsdirektoratet for generalstaben til de væpnede styrker i den russiske føderasjonen (GRU). Denne hackergruppen, støttet av Kreml, har fungert i nesten 15 år, og fokuserer først og fremst på etterretningsinnhenting for å støtte de utenrikspolitiske målene til den russiske regjeringen.

I tidligere kampanjer har APT28-hackere utnyttet et sikkerhetsproblem med privilegieeskalering i Microsoft Outlook (CVE-2023-23397) og en kodeutførelsesfeil i WinRAR (CVE-2023-38831), noe som demonstrerer deres evne til å inkorporere offentlige utnyttelser raskt i operasjonene deres.

Hackerne tilknyttet GRU fokuserer vanligvis innsatsen på strategiske etterretningsressurser, inkludert offentlige enheter, energiselskaper, transportsektorer og ikke-statlige organisasjoner over hele Midtøsten, USA og Europa. I tillegg har forskere notert tilfeller av APT28 rettet mot medier, informasjonsteknologifirmaer, idrettsorganisasjoner og utdanningsinstitusjoner.