Perisian Hasad GooseEgg

Penganalisis keselamatan siber telah menemui alat mengancam yang digunakan oleh penggodam yang disokong kerajaan Rusia untuk mendapatkan bukti kelayakan sensitif dalam rangkaian yang terjejas. Digelar GooseEgg, perisian hasad ini memanfaatkan kerentanan yang dikenal pasti sebagai CVE-2022-38028 dalam perkhidmatan Windows Print Spooler, yang bertanggungjawab mengurus tugas pencetakan dengan mengubah fail kekangan JavaScript dan melaksanakannya dengan kebenaran peringkat SYSTEM. Penganalisis ambil perhatian bahawa GooseEgg nampaknya eksklusif untuk kumpulan APT (Advanced Persistent Threat) yang dikenali sebagai APT28 , yang bergabung dengan cabang perisikan tentera Rusia, GRU.

Menurut penemuan, APT28—juga diiktiraf sebagai Fancy Bear dan Forest Blizzard—telah menggunakan perisian hasad ini sejak sekurang-kurangnya Jun 2020, menyasarkan pelbagai sektor, termasuk institusi negeri, NGO, pertubuhan pendidikan dan entiti pengangkutan di seluruh Ukraine, Eropah Barat dan Utara Amerika.

Perisian Hasad GooseEgg Membenarkan Penjenayah Siber Meningkatkan Serangan Mereka

APT28 bertujuan untuk mencapai akses yang lebih tinggi kepada sistem sasaran dan bukti kelayakan pencuri dan maklumat sensitif melalui penggunaan GooseEgg. Lazimnya digunakan dengan skrip kelompok, GooseEgg, walaupun merupakan aplikasi pelancar yang mudah, mempunyai keupayaan untuk memulakan aplikasi tertentu lain dengan keizinan tinggi, seperti yang diarahkan melalui baris arahan. Ini membolehkan pelaku ancaman mengejar pelbagai objektif susulan, termasuk pelaksanaan kod jauh, pemasangan pintu belakang dan pergerakan sisi dalam rangkaian yang terjejas.

Binari GooseEgg memudahkan arahan untuk mengaktifkan eksploit dan melancarkan sama ada perpustakaan pautan dinamik (DLL) yang disediakan atau boleh laku dengan keistimewaan yang tinggi. Selain itu, ia mengesahkan kejayaan pengaktifan eksploitasi menggunakan arahan 'whoami'.

Walaupun kecacatan keselamatan dalam Print Spooler telah ditambal pada tahun 2022, pengguna dan organisasi yang masih belum melaksanakan pembetulan ini amat dinasihatkan untuk berbuat demikian dengan segera untuk memperkukuh postur keselamatan organisasi mereka.

APT28 Kekal Menjadi Pelakon Ancaman Utama di Adegan Jenayah Siber

APT28 dipercayai mempunyai hubungan dengan Unit 26165 agensi perisikan tentera Persekutuan Rusia, Direktorat Perisikan Utama Kakitangan Am Angkatan Tentera Persekutuan Rusia (GRU). Beroperasi selama hampir 15 tahun, kumpulan penggodaman ini, yang disokong oleh Kremlin, memberi tumpuan terutamanya pada pengumpulan risikan untuk menyokong objektif dasar luar kerajaan Rusia.

Dalam kempen lalu, penggodam APT28 telah mengeksploitasi kelemahan peningkatan keistimewaan dalam Microsoft Outlook (CVE-2023-23397) dan kecacatan pelaksanaan kod dalam WinRAR (CVE-2023-38831), menunjukkan keupayaan mereka untuk memasukkan eksploitasi awam ke dalam operasi mereka dengan pantas.

Penggodam yang bergabung dengan GRU biasanya menumpukan usaha mereka pada aset risikan strategik, termasuk entiti kerajaan, firma tenaga, sektor pengangkutan dan pertubuhan bukan kerajaan di seluruh Timur Tengah, AS dan Eropah. Selain itu, penyelidik telah mencatatkan contoh APT28 yang menyasarkan saluran media, firma teknologi maklumat, organisasi sukan dan institusi pendidikan.