GooseEgg マルウェアはロシアの Fancy Bear APT にリンクされている
ロシアと関連のある脅威アクターである APT28 は、Microsoft Windows の Print Spooler コンポーネントのセキュリティ脆弱性を利用して、GooseEgg という新しいカスタム マルウェアを展開しました。この侵害後のツールは、少なくとも 2020 年 6 月から、おそらくは 2019 年 4 月には運用されており、現在はパッチが適用されている権限昇格を可能にする欠陥を悪用していました (CVE-2022-38028、CVSS スコア: 7.8)。Microsoft は、この問題を最初に報告した米国国家安全保障局 (NSA) の功績を認め、2022 年 10 月にリリースされた更新プログラムでこの問題に対処しました。
ファンシーベアはさまざまなターゲットに対してGooseEggを展開しました
Microsoft の脅威インテリジェンス チームの最近の調査結果によると、APT28 (Fancy Bear および Forest Blizzard としても知られる) は、ウクライナ、西ヨーロッパ、北米の政府、非政府、教育、運輸部門の組織を標的とした攻撃でこの脆弱性を利用しました。
フォレスト・ブリザードは、ロシア軍情報機関GRUのUnit 26165と関係があると考えられており、約15年間活動しており、主にロシアの外交政策目標を支援するための情報収集に重点を置いている。
ファンシーベアの過去の攻撃
APT28は、GooseEgg以外にも、Microsoft Outlookの権限昇格の脆弱性(CVE-2023-23397、CVSSスコア:9.8)やWinRARのコード実行バグ(CVE-2023-38831、CVSSスコア:7.8)などの脆弱性を悪用しており、公開されているエクスプロイトを戦術に組み込む機敏さを示しています。
Microsoft によると、GooseEgg を展開する目的は、ターゲット システムへの昇格されたアクセス権を取得し、認証情報と情報を盗むことです。マルウェアは通常、バッチ スクリプトと一緒に展開され、コマンドを実行してエクスプロイトをトリガーし、昇格された権限で指定されたアプリケーションを起動し、whoami などのコマンドで成功を確認できます。