GooseEgg ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਸਮਝੌਤਾ ਕੀਤੇ ਨੈਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਸੰਵੇਦਨਸ਼ੀਲ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਰੂਸੀ ਰਾਜ-ਸਮਰਥਿਤ ਹੈਕਰਾਂ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਇੱਕ ਧਮਕੀ ਭਰੇ ਸਾਧਨ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ। GooseEgg ਡੱਬ ਕੀਤਾ ਗਿਆ, ਇਹ ਮਾਲਵੇਅਰ ਵਿੰਡੋਜ਼ ਪ੍ਰਿੰਟ ਸਪੂਲਰ ਸੇਵਾ ਦੇ ਅੰਦਰ CVE-2022-38028 ਵਜੋਂ ਪਛਾਣੀ ਗਈ ਇੱਕ ਕਮਜ਼ੋਰੀ ਨੂੰ ਪੂੰਜੀ ਬਣਾਉਂਦਾ ਹੈ, ਇੱਕ JavaScript ਪਾਬੰਦੀਆਂ ਫਾਈਲ ਨੂੰ ਬਦਲ ਕੇ ਅਤੇ ਇਸਨੂੰ ਸਿਸਟਮ-ਪੱਧਰ ਦੀਆਂ ਇਜਾਜ਼ਤਾਂ ਨਾਲ ਚਲਾਉਣ ਦੁਆਰਾ ਪ੍ਰਿੰਟਿੰਗ ਕਾਰਜਾਂ ਦੇ ਪ੍ਰਬੰਧਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਕ ਨੋਟ ਕਰਦੇ ਹਨ ਕਿ GooseEgg ਇੱਕ APT (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ) ਗਰੁੱਪ ਲਈ ਵਿਸ਼ੇਸ਼ ਜਾਪਦਾ ਹੈ ਜਿਸਨੂੰ APT28 ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਰੂਸ ਦੀ ਮਿਲਟਰੀ ਇੰਟੈਲੀਜੈਂਸ ਆਰਮ, GRU ਨਾਲ ਸੰਬੰਧਿਤ ਹੈ।

ਖੋਜਾਂ ਦੇ ਅਨੁਸਾਰ, APT28—ਜਿਸ ਨੂੰ ਫੈਂਸੀ ਬੀਅਰ ਅਤੇ ਫੋਰੈਸਟ ਬਲਿਜ਼ਾਰਡ ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ—ਇਸ ਮਾਲਵੇਅਰ ਨੂੰ ਘੱਟੋ-ਘੱਟ ਜੂਨ 2020 ਤੋਂ ਤੈਨਾਤ ਕਰ ਰਿਹਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਵੱਖ-ਵੱਖ ਸੈਕਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜਾ ਰਿਹਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਯੂਕਰੇਨ, ਪੱਛਮੀ ਯੂਰਪ ਅਤੇ ਉੱਤਰ ਵਿੱਚ ਰਾਜ ਸੰਸਥਾਵਾਂ, ਗੈਰ-ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ, ਵਿਦਿਅਕ ਅਦਾਰਿਆਂ ਅਤੇ ਆਵਾਜਾਈ ਸੰਸਥਾਵਾਂ ਸ਼ਾਮਲ ਹਨ। ਅਮਰੀਕਾ।

GooseEgg ਮਾਲਵੇਅਰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਉਨ੍ਹਾਂ ਦੇ ਹਮਲੇ ਨੂੰ ਵਧਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ

APT28 ਦਾ ਉਦੇਸ਼ GooseEgg ਦੀ ਤੈਨਾਤੀ ਰਾਹੀਂ ਟਾਰਗੇਟ ਸਿਸਟਮਾਂ ਅਤੇ ਪਿਲਫਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਤੱਕ ਉੱਚੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨਾ ਹੈ। ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਬੈਚ ਸਕ੍ਰਿਪਟ ਨਾਲ ਤੈਨਾਤ, GooseEgg, ਇੱਕ ਸਧਾਰਨ ਲਾਂਚਰ ਐਪਲੀਕੇਸ਼ਨ ਹੋਣ ਦੇ ਬਾਵਜੂਦ, ਉੱਚਿਤ ਅਨੁਮਤੀਆਂ ਦੇ ਨਾਲ ਹੋਰ ਨਿਰਧਾਰਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਕਮਾਂਡ ਲਾਈਨ ਦੁਆਰਾ ਹੁਕਮ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੂੰ ਵੱਖ-ਵੱਖ ਫਾਲੋ-ਆਨ ਉਦੇਸ਼ਾਂ ਦਾ ਪਿੱਛਾ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਬੈਕਡੋਰ ਇੰਸਟਾਲੇਸ਼ਨ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਨੈੱਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਪਾਸੇ ਦੀ ਗਤੀ ਸ਼ਾਮਲ ਹੈ।

GooseEgg ਬਾਈਨਰੀ ਸ਼ੋਸ਼ਣ ਨੂੰ ਸਰਗਰਮ ਕਰਨ ਅਤੇ ਪ੍ਰਦਾਨ ਕੀਤੀ ਗਈ ਡਾਇਨਾਮਿਕ-ਲਿੰਕ ਲਾਇਬ੍ਰੇਰੀ (DLL) ਜਾਂ ਉੱਚਿਤ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨਾਲ ਚੱਲਣਯੋਗ ਲਾਂਚ ਕਰਨ ਲਈ ਕਮਾਂਡਾਂ ਦੀ ਸਹੂਲਤ ਦਿੰਦੀ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ 'whoami' ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸ਼ੋਸ਼ਣ ਦੇ ਸਫਲ ਸਰਗਰਮ ਹੋਣ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ।

ਹਾਲਾਂਕਿ ਪ੍ਰਿੰਟ ਸਪੂਲਰ ਵਿੱਚ ਸੁਰੱਖਿਆ ਖਾਮੀਆਂ ਨੂੰ 2022 ਵਿੱਚ ਪੈਚ ਕੀਤਾ ਗਿਆ ਸੀ, ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਜਿਨ੍ਹਾਂ ਨੇ ਅਜੇ ਤੱਕ ਇਹਨਾਂ ਫਿਕਸ ਨੂੰ ਲਾਗੂ ਨਹੀਂ ਕੀਤਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਆਪਣੀ ਸੰਸਥਾ ਦੀ ਸੁਰੱਖਿਆ ਸਥਿਤੀ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ ਤੁਰੰਤ ਅਜਿਹਾ ਕਰਨ ਦੀ ਜ਼ੋਰਦਾਰ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ।

APT28 ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸੀਨ 'ਤੇ ਇੱਕ ਮੁੱਖ ਧਮਕੀ ਅਦਾਕਾਰ ਬਣਿਆ ਹੋਇਆ ਹੈ

ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ APT28 ਦਾ ਰਸ਼ੀਅਨ ਫੈਡਰੇਸ਼ਨ ਦੀ ਮਿਲਟਰੀ ਖੁਫੀਆ ਏਜੰਸੀ, ਰਸ਼ੀਅਨ ਫੈਡਰੇਸ਼ਨ (GRU) ਦੇ ਆਰਮਡ ਫੋਰਸਿਜ਼ ਦੇ ਜਨਰਲ ਸਟਾਫ ਦੇ ਮੁੱਖ ਖੁਫੀਆ ਡਾਇਰੈਕਟੋਰੇਟ ਦੀ ਯੂਨਿਟ 26165 ਨਾਲ ਸਬੰਧ ਹੈ। ਲਗਭਗ 15 ਸਾਲਾਂ ਤੋਂ ਸੰਚਾਲਿਤ, ਕ੍ਰੇਮਲਿਨ ਦੁਆਰਾ ਸਮਰਥਨ ਪ੍ਰਾਪਤ ਇਹ ਹੈਕਿੰਗ ਸਮੂਹ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਰੂਸੀ ਸਰਕਾਰ ਦੇ ਵਿਦੇਸ਼ ਨੀਤੀ ਦੇ ਉਦੇਸ਼ਾਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ।

ਪਿਛਲੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ, APT28 ਹੈਕਰਾਂ ਨੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਉਟਲੁੱਕ (CVE-2023-23397) ਵਿੱਚ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਾਧੇ ਦੀ ਕਮਜ਼ੋਰੀ ਅਤੇ WinRAR (CVE-2023-38831) ਵਿੱਚ ਇੱਕ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੁਕਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਹੈ, ਜੋ ਉਹਨਾਂ ਦੇ ਕੰਮ ਵਿੱਚ ਤੇਜ਼ੀ ਨਾਲ ਜਨਤਕ ਸ਼ੋਸ਼ਣ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਆਪਣੀ ਯੋਗਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹਨ।

GRU ਨਾਲ ਜੁੜੇ ਹੈਕਰ ਆਮ ਤੌਰ 'ਤੇ ਮੱਧ ਪੂਰਬ, ਅਮਰੀਕਾ ਅਤੇ ਯੂਰਪ ਵਿੱਚ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ, ਊਰਜਾ ਫਰਮਾਂ, ਆਵਾਜਾਈ ਸੈਕਟਰਾਂ ਅਤੇ ਗੈਰ-ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਸਮੇਤ ਰਣਨੀਤਕ ਖੁਫੀਆ ਸੰਪਤੀਆਂ 'ਤੇ ਆਪਣੇ ਯਤਨਾਂ ਨੂੰ ਕੇਂਦਰਿਤ ਕਰਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਮੀਡੀਆ ਆਉਟਲੈਟਾਂ, ਸੂਚਨਾ ਤਕਨਾਲੋਜੀ ਫਰਮਾਂ, ਖੇਡ ਸੰਸਥਾਵਾਂ ਅਤੇ ਵਿਦਿਅਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ APT28 ਦੀਆਂ ਉਦਾਹਰਣਾਂ ਨੂੰ ਨੋਟ ਕੀਤਾ ਹੈ।