GooseEgg Malware

Аналітики з кібербезпеки виявили загрозливий інструмент, який використовували російські державні хакери для отримання конфіденційних облікових даних у скомпрометованих мережах. Це зловмисне програмне забезпечення під назвою GooseEgg використовує вразливість, ідентифіковану як CVE-2022-38028 у службі Windows Print Spooler, яка відповідає за керування завданнями друку шляхом зміни файлу обмежень JavaScript і його виконання з дозволами на рівні SYSTEM. Аналітики відзначають, що GooseEgg, схоже, є ексклюзивним для групи APT (Advanced Persistent Threat), відомої як APT28 , пов’язаної з російською військовою розвідкою ГРУ.

Згідно з висновками, APT28, також відомий як Fancy Bear і Forest Blizzard, розгортає це зловмисне програмне забезпечення щонайменше з червня 2020 року, націлюючись на різні сектори, включаючи державні установи, неурядові організації, навчальні заклади та транспортні організації в Україні, Західній Європі та Північній Європі. Америка.

Зловмисне програмне забезпечення GooseEgg дозволяє кіберзлочинцям посилювати свої атаки

APT28 має на меті досягти підвищеного доступу до цільових систем і викрасти облікові дані та конфіденційну інформацію за допомогою розгортання GooseEgg. Як правило, GooseEgg розгортається за допомогою пакетного сценарію, незважаючи на те, що він є простою програмою запуску, але має можливість ініціювати інші визначені програми з підвищеними правами доступу, як це вказано через командний рядок. Це дозволяє суб’єктам загрози переслідувати різні наступні цілі, включаючи віддалене виконання коду, бекдор-інсталяцію та бічне переміщення в зламаних мережах.

Двійковий файл GooseEgg полегшує команди для активації експлойта та запуску наданої бібліотеки динамічного компонування (DLL) або виконуваного файлу з підвищеними привілеями. Крім того, він перевіряє успішну активацію експлойта за допомогою команди whoami.

Незважаючи на те, що недолік безпеки в Print Spooler було виправлено у 2022 році, користувачам і організаціям, які ще не впровадили ці виправлення, настійно рекомендується зробити це якнайшвидше, щоб посилити безпеку своєї організації.

APT28 залишається ключовою загрозою на сцені кіберзлочинності

Вважається, що APT28 має зв’язок з в/ч 26165 Головного розвідувального управління Генштабу Збройних сил РФ (ГРУ). Діючи майже 15 років, ця хакерська група, яку підтримує Кремль, головним чином зосереджується на зборі розвідданих для підтримки зовнішньополітичних цілей російського уряду.

У минулих кампаніях хакери APT28 використовували вразливість підвищення привілеїв у Microsoft Outlook (CVE-2023-23397) і помилку виконання коду в WinRAR (CVE-2023-38831), демонструючи свою здатність швидко включати загальнодоступні експлойти у свої операції.

Хакери, пов’язані з ГРУ, зазвичай зосереджують свої зусилля на стратегічних розвідувальних ресурсах, включаючи державні установи, енергетичні компанії, транспортні сектори та неурядові організації на Близькому Сході, у США та Європі. Крім того, дослідники помітили випадки, коли APT28 націлено на засоби масової інформації, фірми інформаційних технологій, спортивні організації та навчальні заклади.