GooseEgg Malware

تحلیلگران امنیت سایبری ابزار تهدیدآمیزی را کشف کرده اند که توسط هکرهای تحت حمایت دولت روسیه برای به دست آوردن اعتبارنامه های حساس در شبکه های در معرض خطر استفاده می شود. این بدافزار که GooseEgg نامیده می‌شود، از آسیب‌پذیری به‌عنوان CVE-2022-38028 در سرویس Windows Print Spooler استفاده می‌کند که مسئول مدیریت وظایف چاپ با تغییر فایل محدودیت‌های جاوا اسکریپت و اجرای آن با مجوزهای سطح سیستم است. تحلیلگران خاطرنشان می کنند که GooseEgg به نظر می رسد انحصاری یک گروه APT (تهدید پایدار پیشرفته) معروف به APT28 ، وابسته به بازوی اطلاعات نظامی روسیه، GRU.

بر اساس یافته‌ها، APT28 - که به‌عنوان Fancy Bear و Forest Blizzard نیز شناخته می‌شود - حداقل از ژوئن 2020 این بدافزار را مستقر کرده است و بخش‌های مختلفی از جمله موسسات دولتی، سازمان‌های غیردولتی، مؤسسات آموزشی و نهادهای حمل‌ونقل را در سراسر اوکراین، اروپای غربی و شمال هدف قرار داده است. آمریکا

بدافزار GooseEgg به مجرمان سایبری اجازه می دهد تا حملات خود را افزایش دهند

هدف APT28 دستیابی به دسترسی بالا به سیستم‌های هدف و اعتبارنامه‌ها و اطلاعات حساس از طریق استقرار GooseEgg است. GooseEgg که معمولاً با یک اسکریپت دسته‌ای مستقر می‌شود، علیرغم اینکه یک برنامه راه‌انداز ساده است، توانایی راه‌اندازی سایر برنامه‌های مشخص شده با مجوزهای بالا را دارد، همانطور که از طریق خط فرمان دستور داده می‌شود. این عوامل تهدید را قادر می‌سازد تا اهداف مختلفی از جمله اجرای کد از راه دور، نصب درب پشتی و حرکت جانبی در شبکه‌های در معرض خطر را دنبال کنند.

باینری GooseEgg دستورات را برای فعال کردن اکسپلویت و راه‌اندازی یک کتابخانه پیوند پویا (DLL) یا یک فایل اجرایی با امتیازات بالا تسهیل می‌کند. علاوه بر این، فعال سازی موفقیت آمیز اکسپلویت را با استفاده از دستور 'whoami' تأیید می کند.

اگرچه نقص امنیتی در Print Spooler در سال 2022 وصله شد، به کاربران و سازمان‌هایی که هنوز این اصلاحات را اجرا نکرده‌اند اکیداً توصیه می‌شود که این کار را سریعاً انجام دهند تا وضعیت امنیتی سازمان خود را تقویت کنند.

APT28 همچنان یک بازیگر تهدید کننده کلیدی در صحنه جرایم سایبری است

اعتقاد بر این است که APT28 با واحد 26165 آژانس اطلاعات نظامی فدراسیون روسیه، اداره اطلاعات اصلی ستاد کل نیروهای مسلح فدراسیون روسیه (GRU) ارتباط دارد. این گروه هکری که نزدیک به 15 سال فعالیت می کند، با حمایت کرملین، در درجه اول بر جمع آوری اطلاعات برای حمایت از اهداف سیاست خارجی دولت روسیه تمرکز دارد.

در کمپین‌های گذشته، هکرهای APT28 از یک آسیب‌پذیری افزایش امتیاز در Microsoft Outlook (CVE-2023-23397) و یک نقص اجرای کد در WinRAR (CVE-2023-38831) سوء استفاده کرده‌اند و توانایی خود را در ترکیب اکسپلویت‌های عمومی در عملیات خود نشان می‌دهند.

هکرهای وابسته به GRU معمولاً تلاش های خود را بر روی دارایی های اطلاعاتی استراتژیک از جمله نهادهای دولتی، شرکت های انرژی، بخش های حمل و نقل و سازمان های غیر دولتی در سراسر خاورمیانه، ایالات متحده و اروپا متمرکز می کنند. علاوه بر این، محققان مواردی از APT28 را که رسانه‌ها، شرکت‌های فناوری اطلاعات، سازمان‌های ورزشی و موسسات آموزشی را هدف قرار می‌دهد، مشاهده کرده‌اند.