Złośliwe oprogramowanie GooseEgg

Analitycy cyberbezpieczeństwa odkryli groźne narzędzie wykorzystywane przez wspieranych przez rosyjskie państwo hakerów w celu uzyskania poufnych danych uwierzytelniających w zaatakowanych sieciach. Szkodnik ten, nazwany GooseEgg, wykorzystuje lukę zidentyfikowaną jako CVE-2022-38028 w usłudze Windows Print Spooler, odpowiedzialnej za zarządzanie zadaniami drukowania poprzez zmianę pliku ograniczeń JavaScript i wykonanie go z uprawnieniami na poziomie SYSTEMU. Analitycy zauważają, że GooseEgg wydaje się być wyłącznym członkiem grupy APT (Advanced Persistent Threat) znanej jako APT28 , powiązanej z rosyjskim ramieniem wywiadu wojskowego, GRU.

Z ustaleń wynika, że APT28 — znany również jako Fancy Bear i Forest Blizzard — wdraża to szkodliwe oprogramowanie co najmniej od czerwca 2020 r., atakując różne sektory, w tym instytucje państwowe, organizacje pozarządowe, placówki edukacyjne i podmioty transportowe na Ukrainie, w Europie Zachodniej i Północnej. Ameryka.

Złośliwe oprogramowanie GooseEgg umożliwia cyberprzestępcom eskalację ataku

Celem APT28 jest uzyskanie podwyższonego dostępu do systemów docelowych oraz kradzież danych uwierzytelniających i poufnych informacji poprzez wdrożenie GooseEgg. Zwykle wdrażany za pomocą skryptu wsadowego, GooseEgg, pomimo tego, że jest prostą aplikacją uruchamiającą, może inicjować inne określone aplikacje z podwyższonymi uprawnieniami, zgodnie z poleceniem wydanym w wierszu poleceń. Dzięki temu cyberprzestępcy mogą realizować różne dalsze cele, w tym zdalne wykonanie kodu, instalację backdoora i boczne przemieszczanie się w zaatakowanych sieciach.

Plik binarny GooseEgg umożliwia wydawanie poleceń aktywujących exploita i uruchamiających dostarczoną bibliotekę dołączaną dynamicznie (DLL) lub plik wykonywalny z podwyższonymi uprawnieniami. Dodatkowo weryfikuje pomyślną aktywację exploita za pomocą polecenia „whoami”.

Chociaż luka w zabezpieczeniach bufora wydruku została załatana w 2022 r., użytkownikom i organizacjom, które jeszcze nie wdrożyły tych poprawek, zdecydowanie zaleca się, aby zrobili to jak najszybciej, aby poprawić poziom bezpieczeństwa swojej organizacji.

APT28 pozostaje kluczowym czynnikiem zagrożenia na scenie cyberprzestępczości

Uważa się, że APT28 ma powiązania z jednostką 26165 agencji wywiadu wojskowego Federacji Rosyjskiej, Głównego Zarządu Wywiadu Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU). Działająca od prawie 15 lat grupa hakerska, wspierana przez Kreml, koncentruje się przede wszystkim na gromadzeniu informacji wywiadowczych w celu wspierania celów polityki zagranicznej rosyjskiego rządu.

W poprzednich kampaniach hakerzy APT28 wykorzystali lukę umożliwiającą eskalację uprawnień w programie Microsoft Outlook (CVE-2023-23397) oraz lukę w wykonywaniu kodu w programie WinRAR (CVE-2023-38831), demonstrując swoją zdolność do szybkiego włączania publicznych exploitów do swoich operacji.

Hakerzy powiązani z GRU zazwyczaj koncentrują swoje wysiłki na zasobach wywiadu strategicznego, w tym na jednostkach rządowych, firmach energetycznych, sektorach transportu i organizacjach pozarządowych na Bliskim Wschodzie, w USA i Europie. Ponadto badacze odnotowali przypadki ataku APT28 na media, firmy informatyczne, organizacje sportowe i instytucje edukacyjne.