GooseEgg ļaunprātīga programmatūra

Kiberdrošības analītiķi ir atklājuši apdraudošu rīku, ko izmanto Krievijas valsts atbalstīti hakeri, lai iegūtu sensitīvus akreditācijas datus apdraudētajos tīklos. Šī ļaunprātīgā programmatūra, kas nodēvēta par GooseEgg, izmanto ievainojamību, kas Windows drukas spolētāja pakalpojumā identificēta kā CVE-2022-38028, kas ir atbildīga par drukāšanas uzdevumu pārvaldību, mainot JavaScript ierobežojumu failu un izpildot to ar SISTĒMAS līmeņa atļaujām. Analītiķi atzīmē, ka GooseEgg, šķiet, ir ekskluzīvs APT (Advanced Persistent Threat) grupai, kas pazīstama kā APT28 un ir saistīta ar Krievijas militārās izlūkošanas nodaļu GRU.

Saskaņā ar konstatējumiem APT28, kas tiek atzīts arī par Fancy Bear un Forest Blizzard, ir izvietojis šo ļaunprogrammatūru vismaz kopš 2020. gada jūnija, mērķējot uz dažādām nozarēm, tostarp valsts iestādēm, NVO, izglītības iestādēm un transporta struktūrām visā Ukrainā, Rietumeiropā un Ziemeļeiropā. Amerika.

GooseEgg ļaunprogrammatūra ļauj kibernoziedzniekiem saasināt savu uzbrukumu

Izmantojot GooseEgg, APT28 mērķis ir panākt paaugstinātu piekļuvi mērķa sistēmām un akreditācijas datiem un sensitīvai informācijai. Parasti GooseEgg, kas tiek izvietots ar pakešu skriptu, neskatoties uz to, ka tā ir vienkārša palaišanas lietojumprogramma, spēj iniciēt citas noteiktas lietojumprogrammas ar paaugstinātām atļaujām, kā tas tiek pavēlēts, izmantojot komandrindu. Tas ļauj apdraudējuma dalībniekiem sasniegt dažādus papildu mērķus, tostarp attālinātu koda izpildi, aizmugures durvju instalēšanu un sānu kustību apdraudētos tīklos.

GooseEgg binārais fails atvieglo komandas, lai aktivizētu izmantošanu un palaistu nodrošināto dinamisko saišu bibliotēku (DLL) vai izpildāmo failu ar paaugstinātām privilēģijām. Turklāt tas pārbauda veiksmīgu ekspluatācijas aktivizēšanu, izmantojot komandu “whoami”.

Lai gan drukas spolētāja drošības nepilnība tika izlabota 2022. gadā, lietotājiem un organizācijām, kurām šie labojumi vēl nav jāievieš, ir ļoti ieteicams to izdarīt nekavējoties, lai stiprinātu savas organizācijas drošības stāvokli.

APT28 joprojām ir galvenais draudu aktieris kibernoziedzības vietā

Tiek uzskatīts, ka APT28 ir saistīts ar Krievijas Federācijas Militārās izlūkošanas aģentūras, Krievijas Federācijas Bruņoto spēku Ģenerālštāba Galvenās izlūkošanas direktorāta (GRU) 26165. nodaļu. Šī Kremļa atbalstītā hakeru grupa, kas darbojas gandrīz 15 gadus, galvenokārt koncentrējas uz izlūkdatu vākšanu, lai atbalstītu Krievijas valdības ārpolitikas mērķus.

Iepriekšējās kampaņās APT28 hakeri ir izmantojuši privilēģiju eskalācijas ievainojamību programmā Microsoft Outlook (CVE-2023-23397) un koda izpildes kļūdu programmā WinRAR (CVE-2023-38831), parādot, ka viņi spēj ātri iekļaut savās darbībās publisku izmantošanu.

Hakeri, kas saistīti ar GRU, parasti koncentrējas uz stratēģiskiem izlūkošanas līdzekļiem, tostarp valdības struktūrām, enerģētikas uzņēmumiem, transporta nozarēm un nevalstiskām organizācijām Tuvajos Austrumos, ASV un Eiropā. Turklāt pētnieki ir atzīmējuši gadījumus, kad APT28 mērķauditorija ir plašsaziņas līdzekļi, informācijas tehnoloģiju uzņēmumi, sporta organizācijas un izglītības iestādes.