Malware ng GooseEgg

Natuklasan ng mga analyst ng cybersecurity ang isang nagbabantang tool na ginagamit ng mga hacker na sinusuportahan ng estado ng Russia upang makakuha ng mga sensitibong kredensyal sa loob ng mga nakompromisong network. Tinaguriang GooseEgg, ang malware na ito ay gumagamit ng isang kahinaan na kinilala bilang CVE-2022-38028 sa loob ng serbisyo ng Windows Print Spooler, na responsable sa pamamahala ng mga gawain sa pag-print sa pamamagitan ng pagbabago ng isang file ng mga hadlang sa JavaScript at pagpapatupad nito nang may mga pahintulot sa antas ng SYSTEM. Napansin ng mga analyst na ang GooseEgg ay tila eksklusibo sa isang grupong APT (Advanced Persistent Threat) na kilala bilang APT28 , na kaanib sa military intelligence arm ng Russia, ang GRU.

Ayon sa mga natuklasan, ang APT28—na kinikilala rin bilang Fancy Bear at Forest Blizzard—ay nagde-deploy ng malware na ito mula pa noong Hunyo 2020, na nagta-target sa iba't ibang sektor, kabilang ang mga institusyon ng estado, NGO, mga institusyong pang-edukasyon, at mga entidad ng transportasyon sa buong Ukraine, Kanlurang Europa at Hilaga. America.

Pinapayagan ng GooseEgg Malware ang mga Cybercriminal na Palakihin ang Kanilang Pag-atake

Nilalayon ng APT28 na makamit ang mataas na pag-access sa mga target na system at mga kredensyal sa pagnanakaw at sensitibong impormasyon sa pamamagitan ng pag-deploy ng GooseEgg. Karaniwang naka-deploy gamit ang isang batch script, ang GooseEgg, sa kabila ng pagiging isang simpleng launcher na application, ay nagtataglay ng kakayahang magpasimula ng iba pang tinukoy na mga application na may mataas na mga pahintulot, gaya ng iniutos sa pamamagitan ng command line. Binibigyang-daan nito ang mga banta ng aktor na ituloy ang iba't ibang mga follow-on na layunin, kabilang ang remote code execution, backdoor installation, at lateral movement sa loob ng mga nakompromisong network.

Pinapadali ng binary ng GooseEgg ang mga command para i-activate ang exploit at ilunsad ang alinman sa ibinigay na dynamic-link library (DLL) o isang executable na may mataas na mga pribilehiyo. Bukod pa rito, bini-verify nito ang matagumpay na pag-activate ng pagsasamantala gamit ang command na 'whoami'.

Bagama't ang kakulangan sa seguridad sa Print Spooler ay na-patch noong 2022, ang mga user at organisasyon na hindi pa nagpapatupad ng mga pag-aayos na ito ay mahigpit na pinapayuhan na gawin ito kaagad upang palakasin ang postura ng seguridad ng kanilang organisasyon.

Ang APT28 ay Nananatiling Pangunahing Aktor ng Banta sa Cybercrime Scene

Ang APT28 ay pinaniniwalaang may kaugnayan sa Unit 26165 ng military intelligence agency ng Russian Federation, ang Main Intelligence Directorate ng General Staff ng Armed Forces of the Russian Federation (GRU). Nagpapatakbo ng halos 15 taon, ang grupong ito sa pag-hack, na sinusuportahan ng Kremlin, ay pangunahing nakatuon sa pagtitipon ng paniktik upang suportahan ang mga layunin ng patakarang panlabas ng gobyerno ng Russia.

Sa mga nakaraang kampanya, sinamantala ng mga hacker ng APT28 ang isang kahinaan sa pagdami ng pribilehiyo sa Microsoft Outlook (CVE-2023-23397) at isang depekto sa pagpapatupad ng code sa WinRAR (CVE-2023-38831), na nagpapakita ng kanilang kakayahang isama ang mga pampublikong pagsasamantala sa kanilang mga operasyon nang mabilis.

Ang mga hacker na kaanib sa GRU ay karaniwang nakatuon sa kanilang mga pagsisikap sa mga strategic intelligence asset, kabilang ang mga entity ng gobyerno, mga kumpanya ng enerhiya, sektor ng transportasyon, at mga non-government na organisasyon sa buong Middle East, US at Europe. Bukod pa rito, napansin ng mga mananaliksik ang mga pagkakataon ng APT28 na nagta-target sa mga media outlet, information technology firm, sports organization, at mga institusyong pang-edukasyon.