GooseEgg Malware

Cybersäkerhetsanalytiker har upptäckt ett hotfullt verktyg som används av ryska statsstödda hackare för att få känsliga referenser inom komprometterade nätverk. Detta skadliga program, kallat GooseEgg, drar nytta av en sårbarhet identifierad som CVE-2022-38028 inom Windows Print Spooler-tjänsten, ansvarig för att hantera utskriftsuppgifter genom att ändra en JavaScript-begränsningsfil och exekvera den med behörigheter på SYSTEMnivå. Analytiker noterar att GooseEgg verkar vara exklusivt för en APT-grupp (Advanced Persistent Threat) känd som APT28 , ansluten till Rysslands militära underrättelsetjänst, GRU.

Enligt resultaten har APT28 – även erkänd som Fancy Bear och Forest Blizzard – distribuerat denna skadliga programvara sedan åtminstone juni 2020, riktad mot olika sektorer, inklusive statliga institutioner, icke-statliga organisationer, utbildningsinstitutioner och transportenheter över hela Ukraina, Västeuropa och norra Amerika.

GooseEgg Malware tillåter cyberbrottslingar att eskalera sin attack

APT28 syftar till att uppnå ökad tillgång till målsystem och snatteriuppgifter och känslig information genom utplaceringen av GooseEgg. Vanligtvis distribueras med ett batch-skript, GooseEgg, trots att det är ett enkelt startprogram, har förmågan att initiera andra specificerade applikationer med förhöjda behörigheter, enligt kommandot via kommandoraden. Detta gör det möjligt för hotaktörer att eftersträva olika uppföljningsmål, inklusive fjärrexekvering av kod, bakdörrsinstallation och sidorörelse inom komprometterade nätverk.

GooseEgg-binären underlättar kommandon för att aktivera exploateringen och starta antingen ett tillhandahållet dynamiskt länkbibliotek (DLL) eller en körbar fil med förhöjda privilegier. Dessutom verifierar den framgångsrik aktivering av exploateringen med hjälp av 'whoami'-kommandot.

Även om säkerhetsbristen i Print Spooler korrigerades 2022, rekommenderas användare och organisationer som ännu inte har implementerat dessa korrigeringar att göra det omgående för att stärka sin organisations säkerhetsställning.

APT28 förblir en viktig hotaktör på cyberbrottsscenen

APT28 tros ha kopplingar till enhet 26165 i Ryska federationens militära underrättelsetjänst, huvudunderrättelsedirektoratet för generalstaben för Ryska federationens väpnade styrkor (GRU). Denna hackergrupp, som har varit verksam i nästan 15 år, med stöd av Kreml, fokuserar främst på underrättelseinsamling för att stödja den ryska regeringens utrikespolitiska mål.

I tidigare kampanjer har APT28-hackare utnyttjat en sårbarhet för eskalering av privilegier i Microsoft Outlook (CVE-2023-23397) och en kodexekveringsbrist i WinRAR (CVE-2023-38831), vilket visar deras förmåga att snabbt införliva offentliga utnyttjanden i sin verksamhet.

Hackare som är anslutna till GRU fokuserar vanligtvis sina ansträngningar på strategiska underrättelsetillgångar, inklusive statliga enheter, energiföretag, transportsektorer och icke-statliga organisationer i Mellanöstern, USA och Europa. Dessutom har forskare noterat fall av APT28 som riktar sig till media, IT-företag, idrottsorganisationer och utbildningsinstitutioner.