GooseEgg kenkėjiška programa

Kibernetinio saugumo analitikai aptiko grėsmingą įrankį, kurį naudoja Rusijos valstybės remiami įsilaužėliai, norėdami gauti slaptus kredencialus pažeistuose tinkluose. Ši kenkėjiška programa, pavadinta „GooseEgg“, išnaudoja pažeidžiamumą, identifikuotą kaip CVE-2022-38028, esantį „Windows Print Spooler“ paslaugoje, atsakingą už spausdinimo užduočių valdymą pakeičiant „JavaScript“ apribojimų failą ir vykdant jį su SISTEMOS lygio leidimais. Analitikai pastebi, kad „GooseEgg“ yra išskirtinė APT (Advanced Persistent Threat) grupei, žinomai kaip APT28 , susijusiai su Rusijos karinės žvalgybos padaliniu GRU.

Remiantis išvadomis, APT28, taip pat žinomas kaip „Fancy Bear“ ir „Forest Blizzard“, šią kenkėjišką programą diegia mažiausiai nuo 2020 m. birželio mėn., taikydamas įvairius sektorius, įskaitant valstybines institucijas, NVO, švietimo įstaigas ir transporto subjektus visoje Ukrainoje, Vakarų Europoje ir Šiaurės Europoje. Amerika.

„GooseEgg“ kenkėjiška programa leidžia kibernetiniams nusikaltėliams eskaluoti savo ataką

Diegiant „GooseEgg“ APT28 siekiama pasiekti didesnę prieigą prie tikslinių sistemų ir pasisavinti kredencialus bei neskelbtiną informaciją. Įprastai naudojant paketinį scenarijų, „GooseEgg“, nors ir yra paprasta paleidimo programa, turi galimybę inicijuoti kitas nurodytas programas su padidintais leidimais, kaip nurodyta komandinėje eilutėje. Tai leidžia grėsmės dalyviams siekti įvairių tolesnių tikslų, įskaitant nuotolinį kodo vykdymą, galinių durų diegimą ir judėjimą į šoną pažeistuose tinkluose.

„GooseEgg“ dvejetainis failas palengvina komandas, skirtas aktyvuoti išnaudojimą ir paleisti pateiktą dinaminės nuorodos biblioteką (DLL) arba vykdomąjį failą su padidintomis teisėmis. Be to, jis patikrina sėkmingą išnaudojimo aktyvavimą naudodamas komandą „whoami“.

Nors spausdinimo kaupiklio saugos trūkumas buvo pataisytas 2022 m., vartotojams ir organizacijoms, kurios dar neįdiegė šių pataisymų, primygtinai rekomenduojama tai padaryti nedelsiant, kad būtų sustiprinta savo organizacijos sauga.

APT28 išlieka pagrindiniu grėsmių veikėju elektroninių nusikaltimų scenoje

Manoma, kad APT28 palaiko ryšius su Rusijos Federacijos karinės žvalgybos agentūros padaliniu 26165 – Rusijos Federacijos ginkluotųjų pajėgų generalinio štabo (GRU) vyriausiuoju žvalgybos direktoratu. Ši Kremliaus remiama programišių grupė, veikusi beveik 15 metų, daugiausia dėmesio skiria žvalgybos informacijos rinkimui, kad paremtų Rusijos vyriausybės užsienio politikos tikslus.

Ankstesnėse kampanijose APT28 įsilaužėliai išnaudojo „Microsoft Outlook“ privilegijų padidinimo pažeidžiamumą (CVE-2023-23397) ir WinRAR kodo vykdymo trūkumą (CVE-2023-38831), parodydami savo gebėjimą greitai įtraukti viešuosius išnaudojimus į savo veiklą.

Su GRU susiję įsilaužėliai paprastai sutelkia savo pastangas į strateginės žvalgybos turtą, įskaitant vyriausybines įstaigas, energetikos įmones, transporto sektorius ir nevyriausybines organizacijas Viduriniuose Rytuose, JAV ir Europoje. Be to, mokslininkai pastebėjo atvejus, kai APT28 buvo nukreiptas į žiniasklaidos priemones, informacinių technologijų įmones, sporto organizacijas ir švietimo įstaigas.