Вредоносное ПО GooseEgg

Аналитики кибербезопасности обнаружили угрожающий инструмент, используемый российскими хакерами, поддерживаемыми государством, для получения конфиденциальных учетных данных в скомпрометированных сетях. Это вредоносное ПО, получившее название GooseEgg, использует уязвимость, идентифицированную как CVE-2022-38028, в службе диспетчера очереди печати Windows, отвечающей за управление задачами печати путем изменения файла ограничений JavaScript и его выполнения с разрешениями системного уровня. Аналитики отмечают, что GooseEgg, похоже, принадлежит исключительно группе APT (Advanced Persistent Threat), известной как APT28 , связанной с подразделением военной разведки России, ГРУ.

Согласно полученным данным, APT28, также известная как Fancy Bear и Forest Blizzard, внедряет это вредоносное ПО как минимум с июня 2020 года, атакуя различные сектора, включая государственные учреждения, НПО, образовательные учреждения и транспортные предприятия по всей Украине, Западной Европе и Северной Европе. Америка.

Вредоносное ПО GooseEgg позволяет киберпреступникам усиливать атаку

APT28 стремится обеспечить расширенный доступ к целевым системам и украсть учетные данные и конфиденциальную информацию посредством развертывания GooseEgg. GooseEgg, обычно развертываемый с помощью пакетного сценария, несмотря на то, что является простым приложением запуска, обладает возможностью запускать другие указанные приложения с повышенными разрешениями по команде из командной строки. Это позволяет злоумышленникам преследовать различные последующие цели, включая удаленное выполнение кода, установку бэкдора и горизонтальное перемещение внутри скомпрометированных сетей.

Бинарный файл GooseEgg упрощает команды для активации эксплойта и запуска либо предоставленной библиотеки динамической компоновки (DLL), либо исполняемого файла с повышенными привилегиями. Кроме того, он проверяет успешную активацию эксплойта с помощью команды whoami.

Хотя уязвимость безопасности в диспетчере очереди печати была исправлена в 2022 году, пользователям и организациям, которые еще не внедрили эти исправления, настоятельно рекомендуется сделать это как можно скорее, чтобы укрепить уровень безопасности своей организации.

APT28 остается ключевым игроком в сфере киберпреступлений

Предполагается, что APT28 имеет связи с подразделением 26165 военной разведки Российской Федерации — Главным разведывательным управлением Генерального штаба Вооружённых Сил Российской Федерации (ГРУ). Эта хакерская группа, действующая уже почти 15 лет и поддерживаемая Кремлем, в первую очередь занимается сбором разведывательной информации для поддержки внешнеполитических целей российского правительства.

В ходе прошлых кампаний хакеры APT28 использовали уязвимость повышения привилегий в Microsoft Outlook (CVE-2023-23397) и ошибку выполнения кода в WinRAR (CVE-2023-38831), демонстрируя свою способность быстро включать публичные эксплойты в свои операции.

Хакеры, связанные с ГРУ, обычно сосредотачивают свои усилия на стратегических разведывательных объектах, в том числе на правительственных учреждениях, энергетических компаниях, транспортных секторах и неправительственных организациях на Ближнем Востоке, в США и Европе. Кроме того, исследователи отметили случаи, когда APT28 был нацелен на средства массовой информации, компании, занимающиеся информационными технологиями, спортивные организации и образовательные учреждения.