GooseEgg 恶意软件

网络安全分析师发现了一种威胁性工具，俄罗斯政府支持的黑客利用该工具在受感染的网络中获取敏感凭据。这种恶意软件被称为 GooseEgg，利用 Windows 打印后台处理程序服务中标识为 CVE-2022-38028 的漏洞，该服务负责通过更改 JavaScript 约束文件并以系统级权限执行该文件来管理打印任务。分析师指出，GooseEgg 似乎是 APT（高级持续性威胁）组织APT28的独家产品，该组织隶属于俄罗斯军事情报机构 GRU。

根据调查结果，APT28（也称为 Fancy Bear 或 Forest Blizzard）至少自 2020 年 6 月以来就开始部署这种恶意软件，目标是乌克兰、西欧和北美的各个领域，包括国家机构、非政府组织、教育机构和交通实体。

GooseEgg 恶意软件使网络犯罪分子得以升级攻击

APT28 的目标是通过部署 GooseEgg 来获得对目标系统的更高访问权限并窃取凭证和敏感信息。GooseEgg 通常使用批处理脚本进行部署，尽管它是一个简单的启动器应用程序，但它能够通过命令行命令以更高的权限启动其他指定应用程序。这使威胁行为者能够追求各种后续目标，包括远程代码执行、后门安装和在受感染网络中横向移动。

GooseEgg 二进制文件支持激活漏洞利用程序的命令，并启动提供的动态链接库 (DLL) 或具有提升权限的可执行文件。此外，它还使用“whoami”命令验证漏洞利用程序是否成功激活。

尽管打印后台处理程序中的安全漏洞已于 2022 年得到修补，但强烈建议尚未实施这些修复的用户和组织及时实施，以增强组织的安全态势。

APT28 仍然是网络犯罪领域的主要威胁行为者

据信，APT28 与俄罗斯联邦军事情报机构 26165 部队（俄罗斯联邦武装部队总参谋部总情报局，简称 GRU）有联系。这个黑客组织在克里姆林宫的支持下已经运作了近 15 年，主要致力于收集情报以支持俄罗斯政府的外交政策目标。

在过去的活动中，APT28 黑客利用了 Microsoft Outlook 中的权限提升漏洞（CVE-2023-23397）和 WinRAR 中的代码执行漏洞（CVE-2023-38831），展示了他们能够将公开的漏洞迅速融入到他们的行动中的能力。

隶属于 GRU 的黑客通常将攻击重点放在战略情报资产上，包括中东、美国和欧洲的政府实体、能源公司、交通部门和非政府组织。此外，研究人员还注意到 APT28 针对媒体机构、信息技术公司、体育组织和教育机构的实例。