GooseEgg rosszindulatú program, amely az orosz Fancy Bear APT-hez kapcsolódik
Az APT28, az Oroszországhoz köthető fenyegetettség szereplője a Microsoft Windows Print Spooler összetevőjének biztonsági rését használta egy új, GooseEgg nevű, egyéni rosszindulatú program telepítéséhez. Ez a kompromisszum utáni eszköz, amely legalább 2020 júniusa óta működik, és potenciálisan már 2019 áprilisában is, kihasznált egy most javított hibát, amely lehetővé tette a jogosultságok kiszélesítését (CVE-2022-38028, CVSS pontszám: 7,8). A Microsoft a 2022 októberében kiadott frissítéseiben orvosolta ezt a problémát, és az Egyesült Államok Nemzetbiztonsági Ügynökségének (NSA) érdemelte ki, hogy kezdetben jelentette.
Fancy Bear Libatojást telepített különféle célpontok ellen
A Microsoft fenyegetés-felderítő csapatának legújabb megállapításai szerint az APT28 (más néven Fancy Bear és Forest Blizzard) ezt a sebezhetőséget használta fel Ukrajnában, Nyugat-Európában és Észak-Amerikában kormányzati, nem kormányzati, oktatási és közlekedési ágazati szervezeteket célzó támadásokban.
A Forest Blizzard, amelyről feltételezhető, hogy kapcsolatban áll a GRU orosz katonai hírszerző ügynökség 26165-ös egységével, körülbelül 15 éve tevékenykedik, elsősorban az orosz külpolitikai célkitűzések támogatására irányuló hírszerzésre összpontosítva.
Fancy Bear korábbi támadásai
A GooseEgg mellett az APT28 más sérülékenységeket is kihasznált, mint például a Microsoft Outlook privilégium-kiterjesztési hibáját (CVE-2023-23397, CVSS pontszám: 9,8) és a WinRAR kódvégrehajtási hibáját (CVE-2023-38831, CVSS pontszám: 7). ), bemutatva agilitásukat a nyilvános zsákmányok beépítésében a taktikájukba.
A GooseEgg telepítésének célja a Microsoft szerint az, hogy magasabb szintű hozzáférést kapjon a célrendszerekhez, valamint a lopási hitelesítő adatokhoz és információkhoz. A rosszindulatú program általában egy kötegelt szkript mellé kerül telepítésre, és lehetővé teszi a kizsákmányolást kiváltó parancsok végrehajtását és a meghatározott alkalmazások elindítását emelt jogosultságokkal, a siker ellenőrzését olyan parancsokkal, mint a whoami.