GooseEgg haittaohjelma

Kyberturvallisuusanalyytikot ovat havainneet uhkaavan työkalun, jota Venäjän valtion tukemat hakkerit käyttävät arkaluontoisten tunnistetietojen hankkimiseen vaarantuneissa verkoissa. Tämä GooseEgg-niminen haittaohjelma hyödyntää haavoittuvuutta, joka on tunnistettu nimellä CVE-2022-38028 Windows Print Spooler -palvelussa. Se vastaa tulostustehtävien hallinnasta muuttamalla JavaScript-rajoitustiedostoa ja suorittamalla sen JÄRJESTELMÄtason käyttöoikeuksilla. Analyytikot huomauttavat, että GooseEgg näyttää olevan yksinomainen APT (Advanced Persistent Threat) -ryhmälle, joka tunnetaan nimellä APT28 ja joka on sidoksissa Venäjän sotilastiedusteluosastoon, GRU:hun.

Tulosten mukaan APT28, joka tunnetaan myös nimellä Fancy Bear ja Forest Blizzard, on käyttänyt tätä haittaohjelmaa ainakin kesäkuusta 2020 lähtien, ja se on kohdistettu useille aloille, mukaan lukien valtion instituutiot, kansalaisjärjestöt, oppilaitokset ja kuljetusyksiköt Ukrainassa, Länsi-Euroopassa ja Pohjois-Euroopassa. Amerikka.

GooseEgg-haittaohjelma sallii kyberrikollisten eskaloida hyökkäystään

APT28 pyrkii parantamaan pääsyä kohdejärjestelmiin ja varastamaan valtuustietoja ja arkaluonteisia tietoja GooseEggin käyttöönoton avulla. Tyypillisesti eräkomentosarjalla käyttöön otettu GooseEgg, vaikka se on yksinkertainen käynnistyssovellus, pystyy käynnistämään muita määritettyjä sovelluksia korotetuilla käyttöoikeuksilla komentorivin kautta annettujen ohjeiden mukaisesti. Tämä antaa uhkatekijöille mahdollisuuden saavuttaa erilaisia jatkotavoitteita, mukaan lukien koodin etäsuoritus, takaoven asennus ja sivuttaisliike vaarantuneiden verkkojen sisällä.

GooseEgg-binaari helpottaa komennot aktivoida hyväksikäyttö ja käynnistää joko dynaamisesti linkkikirjasto (DLL) tai suoritettava tiedosto korotetuilla oikeuksilla. Lisäksi se varmistaa hyväksikäytön onnistuneen aktivoinnin käyttämällä 'whoami'-komentoa.

Vaikka Print Spoolerin tietoturvavirhe korjattiin vuonna 2022, käyttäjiä ja organisaatioita, jotka eivät ole vielä ottaneet käyttöön näitä korjauksia, kehotetaan tekemään se nopeasti organisaationsa tietoturva-asennon vahvistamiseksi.

APT28 on edelleen keskeinen uhkatoimija tietoverkkorikospaikalla

APT28:lla uskotaan olevan siteitä Venäjän federaation sotilastiedustelun yksikköön 26165, Venäjän federaation puolustusvoimien pääesikunnan päätiedusteluosastoon (GRU). Tämä lähes 15 vuotta toiminut hakkerointiryhmä, Kremlin tukema, keskittyy ensisijaisesti tiedustelutietojen keräämiseen tukemaan Venäjän hallituksen ulkopoliittisia tavoitteita.

Aiemmissa kampanjoissa APT28-hakkerit ovat hyödyntäneet Microsoft Outlookin käyttöoikeuksien eskalaatiohaavoittuvuutta (CVE-2023-23397) ja WinRAR-koodin suoritusvirhettä (CVE-2023-38831), mikä on osoittanut kykynsä sisällyttää julkisia hyväksikäyttöjä nopeasti toimintaansa.

GRU:hun sidoksissa olevat hakkerit keskittävät tyypillisesti ponnistelunsa strategisiin tiedustelutietoihin, mukaan lukien valtion yksiköt, energiayhtiöt, kuljetussektorit ja kansalaisjärjestöt Lähi-idässä, Yhdysvalloissa ja Euroopassa. Lisäksi tutkijat ovat havainneet tapauksia, joissa APT28 on suunnattu tiedotusvälineille, tietotekniikkayrityksille, urheilujärjestöille ja oppilaitoksille.