Malware GooseEgg

Analiștii de securitate cibernetică au descoperit un instrument amenințător folosit de hackerii susținuți de stat rus pentru a obține acreditări sensibile în rețelele compromise. Denumit GooseEgg, acest malware valorifică o vulnerabilitate identificată ca CVE-2022-38028 în cadrul serviciului Windows Print Spooler, responsabil pentru gestionarea sarcinilor de imprimare prin modificarea unui fișier de constrângeri JavaScript și executându-l cu permisiuni la nivel de SISTEM. Analiştii notează că GooseEgg pare să fie exclusiv unui grup APT (Advanced Persistent Threat) cunoscut sub numele de APT28 , afiliat cu armata rusă de informaţii militare, GRU.

Conform constatărilor, APT28 – recunoscut și ca Fancy Bear și Forest Blizzard – a implementat acest malware din iunie 2020, vizând diferite sectoare, inclusiv instituții de stat, ONG-uri, instituții de învățământ și entități de transport din Ucraina, Europa de Vest și Nord. America.

Programul malware GooseEgg permite infractorilor cibernetici să-și intensifice atacurile

APT28 își propune să obțină un acces ridicat la sistemele țintă și să fure acreditări și informații sensibile prin implementarea GooseEgg. De obicei, implementat cu un script batch, GooseEgg, în ciuda faptului că este o aplicație de lansare simplă, are capacitatea de a iniția alte aplicații specificate cu permisiuni ridicate, așa cum este comandat prin linia de comandă. Acest lucru le permite actorilor amenințărilor să urmărească diferite obiective ulterioare, inclusiv execuția de cod de la distanță, instalarea ușilor din spate și mișcarea laterală în cadrul rețelelor compromise.

Binarul GooseEgg facilitează comenzile pentru a activa exploit-ul și a lansa fie o bibliotecă cu legături dinamice (DLL) furnizată, fie un executabil cu privilegii ridicate. În plus, verifică activarea cu succes a exploitului folosind comanda „whoami”.

Deși defectul de securitate din Print Spooler a fost corectat în 2022, utilizatorii și organizațiile care încă nu au implementat aceste remedieri sunt sfătuiți să facă acest lucru prompt pentru a consolida postura de securitate a organizației lor.

APT28 rămâne un actor cheie de amenințare pe scena crimei cibernetice

Se crede că APT28 are legături cu Unitatea 26165 a agenției de informații militare a Federației Ruse, Direcția Principală de Informații a Statului Major General al Forțelor Armate ale Federației Ruse (GRU). Funcționând de aproape 15 ani, acest grup de hacking, susținut de Kremlin, se concentrează în primul rând pe colectarea de informații pentru a sprijini obiectivele de politică externă ale guvernului rus.

În campaniile anterioare, hackerii APT28 au exploatat o vulnerabilitate de escaladare a privilegiilor în Microsoft Outlook (CVE-2023-23397) și o eroare de execuție a codului în WinRAR (CVE-2023-38831), demonstrând capacitatea lor de a încorpora rapid exploatările publice în operațiunile lor.

Hackerii afiliați GRU își concentrează de obicei eforturile asupra activelor de informații strategice, inclusiv entități guvernamentale, firme energetice, sectoare de transport și organizații neguvernamentale din Orientul Mijlociu, SUA și Europa. În plus, cercetătorii au observat cazuri de APT28 care vizează instituții media, firme de tehnologie a informației, organizații sportive și instituții de învățământ.