GooseEgg மால்வேர்
சமரசம் செய்யப்பட்ட நெட்வொர்க்குகளுக்குள் முக்கியமான நற்சான்றிதழ்களைப் பெற ரஷ்ய அரசு ஆதரவு ஹேக்கர்கள் பயன்படுத்தும் அச்சுறுத்தும் கருவியை சைபர் பாதுகாப்பு ஆய்வாளர்கள் கண்டுபிடித்துள்ளனர். GooseEgg என அழைக்கப்படும் இந்த மால்வேர், Windows Print Spooler சேவையில் CVE-2022-38028 என அடையாளம் காணப்பட்ட பாதிப்பைப் பயன்படுத்தி, ஜாவாஸ்கிரிப்ட் கட்டுப்பாடுகள் கோப்பை மாற்றுவதன் மூலம் அச்சிடும் பணிகளை நிர்வகிப்பதற்கும் சிஸ்டம்-நிலை அனுமதிகளுடன் அதைச் செயல்படுத்துவதற்கும் பொறுப்பாகும். ரஷ்யாவின் இராணுவ புலனாய்வுப் பிரிவான GRU உடன் இணைந்த APT28 எனப்படும் APT (மேம்பட்ட நிரந்தர அச்சுறுத்தல்) குழுவிற்கு GooseEgg பிரத்தியேகமாக இருப்பதாக ஆய்வாளர்கள் குறிப்பிடுகின்றனர்.
கண்டுபிடிப்புகளின்படி, Fancy Bear மற்றும் Forest Blizzard என்றும் அங்கீகரிக்கப்பட்ட APT28, உக்ரைன், மேற்கு ஐரோப்பா மற்றும் வடக்கு முழுவதும் உள்ள அரசு நிறுவனங்கள், தன்னார்வ தொண்டு நிறுவனங்கள், கல்வி நிறுவனங்கள் மற்றும் போக்குவரத்து நிறுவனங்கள் உட்பட பல்வேறு துறைகளை குறிவைத்து, குறைந்தபட்சம் ஜூன் 2020 முதல் இந்த தீம்பொருளைப் பயன்படுத்துகிறது. அமெரிக்கா.
GooseEgg மால்வேர் சைபர் குற்றவாளிகள் தங்கள் தாக்குதலை அதிகரிக்க அனுமதிக்கிறது
APT28 ஆனது GooseEggஐப் பயன்படுத்துவதன் மூலம் இலக்கு அமைப்புகள் மற்றும் பில்ஃபர் நற்சான்றிதழ்கள் மற்றும் முக்கியத் தகவல்களுக்கான உயர்ந்த அணுகலை அடைவதை நோக்கமாகக் கொண்டுள்ளது. பொதுவாக ஒரு தொகுதி ஸ்கிரிப்ட்டுடன் பயன்படுத்தப்படும், GooseEgg, ஒரு எளிய துவக்கி பயன்பாடாக இருந்தாலும், கட்டளை வரி வழியாக கட்டளையிடப்பட்டபடி, உயர்ந்த அனுமதிகளுடன் பிற குறிப்பிட்ட பயன்பாடுகளைத் தொடங்கும் திறனைக் கொண்டுள்ளது. தொலைதூரக் குறியீடு செயல்படுத்தல், பின்கதவு நிறுவுதல் மற்றும் சமரசம் செய்யப்பட்ட நெட்வொர்க்குகளுக்குள் பக்கவாட்டு இயக்கம் உள்ளிட்ட பல்வேறு பின்தொடர்தல் நோக்கங்களைத் தொடர அச்சுறுத்தல் நடிகர்களுக்கு இது உதவுகிறது.
GooseEgg பைனரியானது சுரண்டலைச் செயல்படுத்துவதற்கும், வழங்கப்பட்ட டைனமிக்-லிங்க் லைப்ரரி (DLL) அல்லது உயர்ந்த சலுகைகளுடன் இயங்கக்கூடிய ஒன்றைத் தொடங்குவதற்கும் கட்டளைகளை எளிதாக்குகிறது. கூடுதலாக, இது 'whoami' கட்டளையைப் பயன்படுத்தி சுரண்டலின் வெற்றிகரமான செயல்பாட்டைச் சரிபார்க்கிறது.
பிரிண்ட் ஸ்பூலரில் உள்ள பாதுகாப்புக் குறைபாடு 2022 இல் சரி செய்யப்பட்டாலும், இதுவரை இந்தத் திருத்தங்களைச் செயல்படுத்தாத பயனர்களும் நிறுவனங்களும் தங்கள் நிறுவனத்தின் பாதுகாப்பு நிலையை மேம்படுத்த, உடனடியாகச் செய்யுமாறு கடுமையாக அறிவுறுத்தப்படுகிறார்கள்.
APT28 சைபர் கிரைம் காட்சியில் ஒரு முக்கிய அச்சுறுத்தல் நடிகராக உள்ளது
APT28 ஆனது ரஷ்ய கூட்டமைப்பின் இராணுவ புலனாய்வு அமைப்பின் பிரிவு 26165 உடன் உறவுகளைக் கொண்டிருப்பதாக நம்பப்படுகிறது, ரஷ்ய கூட்டமைப்பின் ஆயுதப்படைகளின் பொதுப் பணியாளர்களின் முக்கிய புலனாய்வு இயக்குநரகம் (GRU). ஏறக்குறைய 15 ஆண்டுகளாக செயல்பட்டு வரும் இந்த ஹேக்கிங் குழு, கிரெம்ளின் ஆதரவுடன், ரஷ்ய அரசாங்கத்தின் வெளியுறவுக் கொள்கை நோக்கங்களை ஆதரிப்பதற்காக உளவுத்துறை சேகரிப்பில் முதன்மையாக கவனம் செலுத்துகிறது.
கடந்த கால பிரச்சாரங்களில், APT28 ஹேக்கர்கள் மைக்ரோசாஃப்ட் அவுட்லுக்கில் (CVE-2023-23397) சலுகை அதிகரிப்பு பாதிப்பு மற்றும் WinRAR (CVE-2023-38831) இல் குறியீட்டு செயல்பாட்டின் குறைபாட்டைப் பயன்படுத்திக் கொண்டனர், இது அவர்களின் பொதுச் செயல்பாடுகளை விரைவாகச் சுரண்டும் திறனை வெளிப்படுத்துகிறது.
GRU உடன் இணைந்த ஹேக்கர்கள் பொதுவாக அரசு நிறுவனங்கள், எரிசக்தி நிறுவனங்கள், போக்குவரத்துத் துறைகள் மற்றும் மத்திய கிழக்கு, அமெரிக்கா மற்றும் ஐரோப்பா முழுவதும் உள்ள அரசு சாரா நிறுவனங்கள் உள்ளிட்ட மூலோபாய உளவுத்துறை சொத்துக்களில் தங்கள் முயற்சிகளை கவனம் செலுத்துகின்றனர். கூடுதலாக, APT28 ஊடகங்கள், தகவல் தொழில்நுட்ப நிறுவனங்கள், விளையாட்டு நிறுவனங்கள் மற்றும் கல்வி நிறுவனங்களை குறிவைக்கும் நிகழ்வுகளை ஆராய்ச்சியாளர்கள் குறிப்பிட்டுள்ளனர்.
