GooseEgg Malware koblet til Russian Fancy Bear APT

APT28, en trusselaktør knyttet til Russland, brukte en sikkerhetssårbarhet i Microsoft Windows Print Spooler-komponenten for å distribuere en ny tilpasset skadelig programvare kalt GooseEgg. Dette post-kompromissverktøyet, som har vært i drift siden minst juni 2020 og potensielt så tidlig som i april 2019, utnyttet en nå rettet feil som muliggjorde rettighetseskalering (CVE-2022-38028, CVSS-score: 7,8). Microsoft adresserte dette problemet i oppdateringer utgitt i oktober 2022, med ære til US National Security Agency (NSA) for at de først rapporterte det.

Fancy Bear utplassert gåseegg mot forskjellige mål

I følge nylige funn fra Microsofts trusseletterretningsteam, utnyttet APT28 (også kjent som Fancy Bear og Forest Blizzard) denne sårbarheten i angrep rettet mot offentlige, ikke-statlige, utdannings- og transportsektorens organisasjoner i Ukraina, Vest-Europa og Nord-Amerika.

Forest Blizzard, som antas å være assosiert med enhet 26165 i det russiske militære etterretningsbyrået GRU, har vært aktiv i rundt 15 år, primært med fokus på etterretningsinnhenting for å støtte russiske utenrikspolitiske mål.

Fancy Bears tidligere angrep

I tillegg til GooseEgg har APT28 utnyttet andre sårbarheter, for eksempel en rettighetseskaleringsfeil i Microsoft Outlook (CVE-2023-23397, CVSS-score: 9,8) og en kodeutførelsesfeil i WinRAR (CVE-2023-38831, CVSS-score: 7,8) ), demonstrerer deres smidighet når det gjelder å inkorporere offentlige utnyttelser i taktikken deres.

Målet med å distribuere GooseEgg, ifølge Microsoft, er å få økt tilgang til målsystemer og tyverilegitimasjon og informasjon. Skadevaren distribueres vanligvis sammen med et batch-skript og gjør det mulig å utføre kommandoer for å utløse utnyttelsen og starte spesifiserte applikasjoner med økte tillatelser, for å bekrefte suksess gjennom kommandoer som whoami.