Зловреден софтуер GooseEgg

Анализаторите на киберсигурността са открили заплашителен инструмент, използван от руски държавни хакери за получаване на чувствителни идентификационни данни в компрометирани мрежи. Наречен GooseEgg, този зловреден софтуер се възползва от уязвимост, идентифицирана като CVE-2022-38028 в рамките на услугата Windows Print Spooler, отговорна за управлението на задачите за печат чрез промяна на файл с ограничения на JavaScript и изпълнението му с разрешения на ниво SYSTEM. Анализаторите отбелязват, че GooseEgg изглежда е ексклузивен за APT (Advanced Persistent Threat) група, известна като APT28 , свързана с руското военно разузнаване GRU.

Според констатациите, APT28 — също признат като Fancy Bear и Forest Blizzard — внедрява този злонамерен софтуер поне от юни 2020 г., насочен към различни сектори, включително държавни институции, НПО, образователни институции и транспортни организации в Украйна, Западна Европа и Север Америка.

Зловреден софтуер GooseEgg позволява на киберпрестъпниците да ескалират атаките си

APT28 има за цел да постигне повишен достъп до целевите системи и да открадне идентификационни данни и чувствителна информация чрез внедряването на GooseEgg. Обикновено разгръщан с пакетен скрипт, GooseEgg, въпреки че е просто приложение за стартиране, притежава способността да инициира други определени приложения с повишени разрешения, както се командва чрез командния ред. Това позволява на участниците в заплахата да преследват различни последващи цели, включително дистанционно изпълнение на код, инсталиране на задната врата и странично движение в рамките на компрометирани мрежи.

Двоичният файл GooseEgg улеснява командите за активиране на експлойта и стартиране или на предоставена библиотека с динамични връзки (DLL), или на изпълним файл с повишени привилегии. Освен това той проверява успешното активиране на експлойта с помощта на командата „whoami“.

Въпреки че пропускът в сигурността в Print Spooler беше коригиран през 2022 г., на потребителите и организациите, които все още не са внедрили тези корекции, е силно препоръчително да го направят незабавно, за да укрепят позицията на сигурност на своята организация.

APT28 остава ключова заплаха на сцената на киберпрестъпленията

Смята се, че APT28 има връзки с отдел 26165 на военното разузнаване на Руската федерация, Главно разузнавателно управление на Генералния щаб на въоръжените сили на Руската федерация (ГРУ). Действаща от близо 15 години, тази хакерска група, подкрепяна от Кремъл, се фокусира основно върху събирането на разузнавателна информация в подкрепа на целите на външната политика на руското правителство.

В предишни кампании хакерите на APT28 са използвали уязвимост при ескалация на привилегии в Microsoft Outlook (CVE-2023-23397) и пропуск в изпълнение на код в WinRAR (CVE-2023-38831), демонстрирайки способността си да включат публични експлойти в своите операции бързо.

Хакерите, свързани с ГРУ, обикновено съсредоточават усилията си върху стратегически разузнавателни активи, включително държавни организации, енергийни фирми, транспортни сектори и неправителствени организации в Близкия изток, САЩ и Европа. Освен това изследователите са забелязали случаи на APT28, насочен към медии, фирми за информационни технологии, спортни организации и образователни институции.