Zlonamerna programska oprema GooseEgg

Analitiki kibernetske varnosti so odkrili nevarno orodje, ki ga hekerji, ki jih podpira ruska država, uporabljajo za pridobivanje občutljivih poverilnic znotraj ogroženih omrežij. Ta zlonamerna programska oprema, imenovana GooseEgg, izkorišča ranljivost, identificirano kot CVE-2022-38028 v storitvi Windows Print Spooler, ki je odgovorna za upravljanje tiskalnih opravil s spreminjanjem datoteke z omejitvami JavaScript in njenim izvajanjem z dovoljenji na ravni SYSTEM. Analitiki ugotavljajo, da se zdi, da je GooseEgg izključno za skupino APT (Advanced Persistent Threat), znano kot APT28 , ki je povezana z rusko vojaško obveščevalno enoto GRU.

Glede na ugotovitve APT28 – prepoznan tudi kot Fancy Bear in Forest Blizzard – uporablja to zlonamerno programsko opremo vsaj od junija 2020 in cilja na različne sektorje, vključno z državnimi institucijami, nevladnimi organizacijami, izobraževalnimi ustanovami in prevoznimi subjekti po Ukrajini, zahodni Evropi in severu. Amerika.

Zlonamerna programska oprema GooseEgg kibernetskim kriminalcem omogoča stopnjevanje njihovih napadov

APT28 želi doseči višji dostop do ciljnih sistemov in ukradti poverilnice in občutljive informacije z uvedbo GooseEgg. GooseEgg, ki se običajno uporablja s paketnim skriptom, ima kljub temu, da je preprosta zaganjalna aplikacija, zmožnost zagona drugih določenih aplikacij s povišanimi dovoljenji, kot je ukazano prek ukazne vrstice. To akterjem groženj omogoča zasledovanje različnih nadaljnjih ciljev, vključno z oddaljenim izvajanjem kode, namestitvijo zakulisnih vrat in stranskim premikanjem znotraj ogroženih omrežij.

Binarna datoteka GooseEgg olajša ukaze za aktiviranje izkoriščanja in zagon ponujene dinamično povezovalne knjižnice (DLL) ali izvršljive datoteke s povišanimi pravicami. Poleg tega preveri uspešno aktivacijo izkoriščanja z ukazom 'whoami'.

Čeprav je bila varnostna napaka v Print Spoolerju popravljena leta 2022, uporabnikom in organizacijam, ki še niso uvedli teh popravkov, toplo priporočamo, da to storijo takoj, da okrepijo varnostno držo svoje organizacije.

APT28 ostaja ključni dejavnik grožnje na prizorišču kibernetske kriminalitete

APT28 naj bi bil povezan z enoto 26165 vojaške obveščevalne agencije Ruske federacije, Glavnim obveščevalnim direktoratom Generalštaba oboroženih sil Ruske federacije (GRU). Ta hekerska skupina, ki deluje že skoraj 15 let in jo podpira Kremelj, se osredotoča predvsem na zbiranje obveščevalnih podatkov v podporo zunanjepolitičnim ciljem ruske vlade.

V preteklih kampanjah so hekerji APT28 izkoristili ranljivost eskalacije privilegijev v Microsoft Outlooku (CVE-2023-23397) in napako pri izvajanju kode v WinRAR (CVE-2023-38831), s čimer so dokazali svojo sposobnost hitre vključitve javnih izkoriščanj v svoje operacije.

Hekerji, povezani z GRU, svoja prizadevanja običajno osredotočajo na strateška obveščevalna sredstva, vključno z vladnimi subjekti, energetskimi podjetji, transportnimi sektorji in nevladnimi organizacijami na Bližnjem vzhodu, v ZDA in Evropi. Poleg tega so raziskovalci opazili primere APT28, ki ciljajo na medijske hiše, podjetja informacijske tehnologije, športne organizacije in izobraževalne ustanove.