GooseEgg-malware

Cybersecurity-analisten hebben een bedreigend instrument ontdekt dat door Russische staatsgesteunde hackers wordt gebruikt om gevoelige inloggegevens binnen gecompromitteerde netwerken te verkrijgen. Deze malware, genaamd GooseEgg, maakt gebruik van een kwetsbaarheid geïdentificeerd als CVE-2022-38028 binnen de Windows Print Spooler-service, die verantwoordelijk is voor het beheer van afdruktaken door een JavaScript-beperkingsbestand te wijzigen en dit uit te voeren met machtigingen op SYSTEEMniveau. Analisten merken op dat GooseEgg exclusief lijkt te zijn voor een APT-groep (Advanced Persistent Threat), bekend als APT28 , aangesloten bij de Russische militaire inlichtingendienst, de GRU.

Volgens de bevindingen zet APT28 – ook erkend als Fancy Bear en Forest Blizzard – deze malware al sinds juni 2020 in, gericht op verschillende sectoren, waaronder staatsinstellingen, NGO’s, onderwijsinstellingen en transportentiteiten in Oekraïne, West-Europa en Noord-Europa. Amerika.

De GooseEgg-malware stelt cybercriminelen in staat hun aanval te escaleren

APT28 streeft naar verhoogde toegang tot doelsystemen en het stelen van inloggegevens en gevoelige informatie door de inzet van GooseEgg. GooseEgg wordt doorgaans ingezet met een batchscript en beschikt, ondanks dat het een eenvoudige opstarttoepassing is, over de mogelijkheid om andere gespecificeerde toepassingen met verhoogde machtigingen te initiëren, zoals opgedragen via de opdrachtregel. Hierdoor kunnen bedreigingsactoren verschillende vervolgdoelen nastreven, waaronder het op afstand uitvoeren van code, het installeren van achterdeurtjes en zijwaartse beweging binnen gecompromitteerde netwerken.

Het binaire bestand GooseEgg maakt opdrachten mogelijk om de exploit te activeren en een meegeleverde Dynamic-Link Library (DLL) of een uitvoerbaar bestand met verhoogde rechten te starten. Bovendien verifieert het de succesvolle activering van de exploit met behulp van de opdracht 'whoami'.

Hoewel het beveiligingslek in de Print Spooler in 2022 is verholpen, wordt gebruikers en organisaties die deze oplossingen nog moeten implementeren, sterk aangeraden dit onmiddellijk te doen om de beveiligingspositie van hun organisatie te versterken.

APT28 blijft een belangrijke bedreigingsacteur op het gebied van cybercriminaliteit

APT28 zou banden hebben met eenheid 26165 van de militaire inlichtingendienst van de Russische Federatie, het hoofdinlichtingendirectoraat van de generale staf van de strijdkrachten van de Russische Federatie (GRU). Deze hackgroep, gesteund door het Kremlin, is al bijna vijftien jaar actief en richt zich voornamelijk op het verzamelen van inlichtingen ter ondersteuning van de doelstellingen van het buitenlands beleid van de Russische regering.

In eerdere campagnes hebben APT28-hackers misbruik gemaakt van een kwetsbaarheid voor escalatie van bevoegdheden in Microsoft Outlook (CVE-2023-23397) en een fout in de uitvoering van code in WinRAR (CVE-2023-38831), waarmee ze hun vermogen aantoonden om openbare exploits snel in hun activiteiten te integreren.

De hackers die bij de GRU zijn aangesloten, richten hun inspanningen doorgaans op strategische inlichtingenmiddelen, waaronder overheidsinstanties, energiebedrijven, transportsectoren en niet-gouvernementele organisaties in het Midden-Oosten, de VS en Europa. Bovendien hebben onderzoekers gevallen opgemerkt waarin APT28 zich richtte op media, informatietechnologiebedrijven, sportorganisaties en onderwijsinstellingen.