GooseEgg Malware
تحلیلگران امنیت سایبری ابزار تهدیدآمیزی را کشف کرده اند که توسط هکرهای تحت حمایت دولت روسیه برای به دست آوردن اعتبارنامه های حساس در شبکه های در معرض خطر استفاده می شود. این بدافزار که GooseEgg نامیده میشود، از آسیبپذیری بهعنوان CVE-2022-38028 در سرویس Windows Print Spooler استفاده میکند که مسئول مدیریت وظایف چاپ با تغییر فایل محدودیتهای جاوا اسکریپت و اجرای آن با مجوزهای سطح سیستم است. تحلیلگران خاطرنشان می کنند که GooseEgg به نظر می رسد انحصاری یک گروه APT (تهدید پایدار پیشرفته) معروف به APT28 ، وابسته به بازوی اطلاعات نظامی روسیه، GRU.
بر اساس یافتهها، APT28 - که بهعنوان Fancy Bear و Forest Blizzard نیز شناخته میشود - حداقل از ژوئن 2020 این بدافزار را مستقر کرده است و بخشهای مختلفی از جمله موسسات دولتی، سازمانهای غیردولتی، مؤسسات آموزشی و نهادهای حملونقل را در سراسر اوکراین، اروپای غربی و شمال هدف قرار داده است. آمریکا
بدافزار GooseEgg به مجرمان سایبری اجازه می دهد تا حملات خود را افزایش دهند
هدف APT28 دستیابی به دسترسی بالا به سیستمهای هدف و اعتبارنامهها و اطلاعات حساس از طریق استقرار GooseEgg است. GooseEgg که معمولاً با یک اسکریپت دستهای مستقر میشود، علیرغم اینکه یک برنامه راهانداز ساده است، توانایی راهاندازی سایر برنامههای مشخص شده با مجوزهای بالا را دارد، همانطور که از طریق خط فرمان دستور داده میشود. این عوامل تهدید را قادر میسازد تا اهداف مختلفی از جمله اجرای کد از راه دور، نصب درب پشتی و حرکت جانبی در شبکههای در معرض خطر را دنبال کنند.
باینری GooseEgg دستورات را برای فعال کردن اکسپلویت و راهاندازی یک کتابخانه پیوند پویا (DLL) یا یک فایل اجرایی با امتیازات بالا تسهیل میکند. علاوه بر این، فعال سازی موفقیت آمیز اکسپلویت را با استفاده از دستور 'whoami' تأیید می کند.
اگرچه نقص امنیتی در Print Spooler در سال 2022 وصله شد، به کاربران و سازمانهایی که هنوز این اصلاحات را اجرا نکردهاند اکیداً توصیه میشود که این کار را سریعاً انجام دهند تا وضعیت امنیتی سازمان خود را تقویت کنند.
APT28 همچنان یک بازیگر تهدید کننده کلیدی در صحنه جرایم سایبری است
اعتقاد بر این است که APT28 با واحد 26165 آژانس اطلاعات نظامی فدراسیون روسیه، اداره اطلاعات اصلی ستاد کل نیروهای مسلح فدراسیون روسیه (GRU) ارتباط دارد. این گروه هکری که نزدیک به 15 سال فعالیت می کند، با حمایت کرملین، در درجه اول بر جمع آوری اطلاعات برای حمایت از اهداف سیاست خارجی دولت روسیه تمرکز دارد.
در کمپینهای گذشته، هکرهای APT28 از یک آسیبپذیری افزایش امتیاز در Microsoft Outlook (CVE-2023-23397) و یک نقص اجرای کد در WinRAR (CVE-2023-38831) سوء استفاده کردهاند و توانایی خود را در ترکیب اکسپلویتهای عمومی در عملیات خود نشان میدهند.
هکرهای وابسته به GRU معمولاً تلاش های خود را بر روی دارایی های اطلاعاتی استراتژیک از جمله نهادهای دولتی، شرکت های انرژی، بخش های حمل و نقل و سازمان های غیر دولتی در سراسر خاورمیانه، ایالات متحده و اروپا متمرکز می کنند. علاوه بر این، محققان مواردی از APT28 را که رسانهها، شرکتهای فناوری اطلاعات، سازمانهای ورزشی و موسسات آموزشی را هدف قرار میدهد، مشاهده کردهاند.