Το κακόβουλο λογισμικό GooseEgg συνδέεται με το Russian Fancy Bear APT
Ο APT28, ένας παράγοντας απειλών που συνδέεται με τη Ρωσία, χρησιμοποίησε μια ευπάθεια ασφαλείας στο στοιχείο Microsoft Windows Print Spooler για να αναπτύξει ένα νέο προσαρμοσμένο κακόβουλο λογισμικό που ονομάζεται GooseEgg. Αυτό το εργαλείο μετά τον συμβιβασμό, το οποίο λειτουργεί τουλάχιστον από τον Ιούνιο του 2020 και πιθανώς ήδη από τον Απρίλιο του 2019, εκμεταλλεύτηκε ένα επιδιορθωμένο ελάττωμα που επιτρέπει την κλιμάκωση των προνομίων (CVE-2022-38028, βαθμολογία CVSS: 7,8). Η Microsoft αντιμετώπισε αυτό το ζήτημα σε ενημερώσεις που κυκλοφόρησαν τον Οκτώβριο του 2022, με πίστωση στην Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA) για την αρχική αναφορά του.
Το Fancy Bear ανέπτυξε το αυγό χήνας ενάντια σε διάφορους στόχους
Σύμφωνα με πρόσφατα ευρήματα από την ομάδα πληροφοριών απειλών της Microsoft, το APT28 (επίσης γνωστό ως Fancy Bear και Forest Blizzard) χρησιμοποίησε αυτήν την ευπάθεια σε επιθέσεις που στοχεύουν κυβερνητικούς, μη κυβερνητικούς οργανισμούς, τον τομέα της εκπαίδευσης και των μεταφορών στην Ουκρανία, τη Δυτική Ευρώπη και τη Βόρεια Αμερική.
Το Forest Blizzard, που πιστεύεται ότι σχετίζεται με τη Μονάδα 26165 της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών GRU, δραστηριοποιείται εδώ και περίπου 15 χρόνια, εστιάζοντας κυρίως στη συλλογή πληροφοριών για την υποστήριξη των στόχων της ρωσικής εξωτερικής πολιτικής.
Προηγούμενες επιθέσεις του Fancy Bear
Εκτός από το GooseEgg, το APT28 έχει εκμεταλλευτεί και άλλα τρωτά σημεία, όπως ένα ελάττωμα κλιμάκωσης προνομίων στο Microsoft Outlook (CVE-2023-23397, βαθμολογία CVSS: 9.8) και ένα σφάλμα εκτέλεσης κώδικα στο WinRAR (CVE-2023-38831, CV score: 7. ), επιδεικνύοντας την ευκινησία τους στην ενσωμάτωση των δημόσιων κατορθωμάτων στις τακτικές τους.
Ο στόχος της ανάπτυξης του GooseEgg, σύμφωνα με τη Microsoft, είναι να αποκτήσει αυξημένη πρόσβαση σε συστήματα-στόχους και διαπιστευτήρια και πληροφορίες κλοπής. Το κακόβουλο λογισμικό συνήθως αναπτύσσεται μαζί με ένα σενάριο δέσμης και επιτρέπει την εκτέλεση εντολών για την ενεργοποίηση της εκμετάλλευσης και την εκκίνηση καθορισμένων εφαρμογών με αυξημένα δικαιώματα, επαληθεύοντας την επιτυχία μέσω εντολών όπως το whoami.
