GooseEgg Malware

Аналитичари за сајбер безбедност открили су претећу алатку коју користе руски државни хакери да би добили осетљиве акредитиве унутар угрожених мрежа. Назван ГоосеЕгг, овај злонамерни софтвер користи рањивост идентификовану као ЦВЕ-2022-38028 у оквиру услуге Виндовс Принт Споолер, одговорну за управљање задацима штампања тако што мења ЈаваСцрипт датотеку ограничења и извршава је са дозволама на нивоу СИСТЕМА. Аналитичари примећују да се чини да је ГоосеЕгг ексклузиван за групу АПТ (Адванцед Персистент Тхреат) познату као АПТ28 , која је повезана са руском војно-обавештајном руком, ГРУ.

Према налазима, АПТ28 — такође препознат као Фанци Беар и Форест Близзард — примењује овај малвер од најмање јуна 2020., циљајући различите секторе, укључујући државне институције, невладине организације, образовне установе и транспортне субјекте широм Украјине, западне Европе и севера Америка.

Злонамерни софтвер ГоосеЕгг омогућава сајбер криминалцима да ескалирају свој напад

АПТ28 има за циљ постизање побољшаног приступа циљним системима и акредитивима за крађу и осетљивим информацијама кроз примену ГоосеЕгг-а. Обично се примењује са групном скриптом, ГоосеЕгг, упркос томе што је једноставна апликација за покретање, поседује способност да покрене друге одређене апликације са повишеним дозволама, као што се наређује преко командне линије. Ово омогућава актерима претњи да следе различите циљеве, укључујући даљинско извршавање кода, инсталацију позадинских врата и бочно кретање унутар компромитованих мрежа.

Бинарни ГоосеЕгг олакшава команде за активирање експлоатације и покретање или обезбеђене библиотеке динамичких веза (ДЛЛ) или извршне датотеке са повишеним привилегијама. Поред тога, он потврђује успешну активацију експлоатације помоћу команде 'вхоами'.

Иако је безбедносни пропуст у Принт Споолер-у закрпљен 2022. године, корисницима и организацијама које тек треба да примене ове исправке се препоручује да то учине што пре како би ојачали безбедносни положај своје организације.

АПТ28 остаје кључни актер претње на месту сајбер злочина

Верује се да АПТ28 има везе са Јединицом 26165 војно-обавештајне агенције Руске Федерације, Главног обавештајног директората Генералштаба Оружаних снага Руске Федерације (ГРУ). Ова хакерска група, која ради скоро 15 година, уз подршку Кремља, првенствено се фокусира на прикупљање обавештајних података како би подржала спољнополитичке циљеве руске владе.

У претходним кампањама, АПТ28 хакери су искористили рањивост ескалације привилегија у Мицрософт Оутлоок-у (ЦВЕ-2023-23397) и грешку у извршавању кода у ВинРАР-у (ЦВЕ-2023-38831), показујући своју способност да брзо уграде јавне експлоатације у своје операције.

Хакери повезани са ГРУ-ом обично усмеравају своје напоре на стратешка обавештајна средства, укључујући владине ентитете, енергетске фирме, транспортне секторе и невладине организације широм Блиског истока, САД и Европе. Поред тога, истраживачи су приметили случајеве да АПТ28 циља на медијске куће, компаније за информационе технологије, спортске организације и образовне институције.