GooseEgg Malware

Analistët e sigurisë kibernetike kanë zbuluar një mjet kërcënues të përdorur nga hakerat rusë të mbështetur nga shteti për të marrë kredenciale të ndjeshme brenda rrjeteve të komprometuara. I quajtur GooseEgg, ky malware shfrytëzon një cenueshmëri të identifikuar si CVE-2022-38028 brenda shërbimit Windows Print Spooler, përgjegjës për menaxhimin e detyrave të printimit duke ndryshuar një skedar kufizimesh JavaScript dhe duke e ekzekutuar atë me lejet e nivelit SYSTEM. Analistët vënë në dukje se GooseEgg duket se është ekskluzive për një grup APT (Kërcënimi i Përparuar i Përparuar) i njohur si APT28 , i lidhur me krahun e inteligjencës ushtarake të Rusisë, GRU.

Sipas gjetjeve, APT28 - i njohur gjithashtu si Fancy Bear dhe Forest Blizzard - ka vendosur këtë malware që të paktën që nga qershori 2020, duke synuar sektorë të ndryshëm, duke përfshirë institucionet shtetërore, OJQ-të, institucionet arsimore dhe entitetet e transportit nëpër Ukrainë, Evropën Perëndimore dhe Veri. Amerikën.

Malware GooseEgg i lejon kriminelët kibernetikë të përshkallëzojnë sulmin e tyre

APT28 synon të arrijë akses më të lartë në sistemet e synuara dhe kredencialet e grabitës dhe informacionet e ndjeshme përmes vendosjes së GooseEgg. Zakonisht i vendosur me një skript grumbull, GooseEgg, pavarësisht se është një aplikacion i thjeshtë lëshues, posedon aftësinë për të iniciuar aplikacione të tjera të specifikuara me leje të ngritura, siç komandohet përmes linjës së komandës. Kjo u mundëson aktorëve të kërcënimit që të ndjekin objektiva të ndryshëm vijues, duke përfshirë ekzekutimin e kodit në distancë, instalimin e dyerve të pasme dhe lëvizjen anësore brenda rrjeteve të komprometuara.

Binar GooseEgg lehtëson komandat për të aktivizuar shfrytëzimin dhe për të nisur ose një bibliotekë të ofruar me lidhje dinamike (DLL) ose një ekzekutues me privilegje të ngritura. Për më tepër, ai verifikon aktivizimin e suksesshëm të shfrytëzimit duke përdorur komandën 'whoami'.

Megjithëse defekti i sigurisë në Print Spooler u rregullua në vitin 2022, përdoruesit dhe organizatat që ende nuk i kanë zbatuar këto rregullime këshillohen fuqimisht ta bëjnë këtë menjëherë për të forcuar qëndrimin e sigurisë së organizatës së tyre.

APT28 mbetet një aktor kryesor kërcënues në skenën e krimit kibernetik

APT28 besohet të ketë lidhje me Njësinë 26165 të agjencisë së inteligjencës ushtarake të Federatës Ruse, Drejtoria kryesore e Inteligjencës e Shtabit të Përgjithshëm të Forcave të Armatosura të Federatës Ruse (GRU). Duke funksionuar për gati 15 vjet, ky grup hakerash, i mbështetur nga Kremlini, fokusohet kryesisht në mbledhjen e inteligjencës për të mbështetur objektivat e politikës së jashtme të qeverisë ruse.

Në fushatat e kaluara, hakerët e APT28 kanë shfrytëzuar një dobësi të përshkallëzimit të privilegjit në Microsoft Outlook (CVE-2023-23397) dhe një defekt të ekzekutimit të kodit në WinRAR (CVE-2023-38831), duke demonstruar aftësinë e tyre për të përfshirë shfrytëzime publike në mënyrë të padrejtë në operacionet e tyre.

Hakerët e lidhur me GRU zakonisht i përqendrojnë përpjekjet e tyre në asetet e inteligjencës strategjike, duke përfshirë entitetet qeveritare, firmat e energjisë, sektorët e transportit dhe organizatat joqeveritare në të gjithë Lindjen e Mesme, SHBA dhe Evropë. Për më tepër, studiuesit kanë vërejtur raste të APT28 që synon mediat, firmat e teknologjisë së informacionit, organizatat sportive dhe institucionet arsimore.