Вредоносное ПО GooseEgg связано с русским APT Fancy Bear
APT28, злоумышленник, связанный с Россией, использовал уязвимость безопасности в компоненте диспетчера очереди печати Microsoft Windows для развертывания нового вредоносного ПО под названием GooseEgg. Этот инструмент после компрометации, работающий как минимум с июня 2020 года и, возможно, уже с апреля 2019 года, использовал исправленную уязвимость, позволяющую повысить привилегии (CVE-2022-38028, оценка CVSS: 7,8). Microsoft решила эту проблему в обновлениях, выпущенных в октябре 2022 года, отдав должное Агентству национальной безопасности США (АНБ) за первоначальное сообщение об этом.
Fancy Bear применил GooseEgg против различных целей
Согласно недавним выводам группы анализа угроз Microsoft, APT28 (также известный как Fancy Bear и Forest Blizzard) использовал эту уязвимость в атаках, нацеленных на государственные, неправительственные, образовательные и транспортные организации в Украине, Западной Европе и Северной Америке.
«Лесная метель», предположительно связанная с подразделением 26165 российской военной разведки ГРУ, действует уже около 15 лет, в основном занимаясь сбором разведывательной информации для поддержки целей российской внешней политики.
Предыдущие атаки Fancy Bear
Помимо GooseEgg, APT28 использовал другие уязвимости, такие как ошибка повышения привилегий в Microsoft Outlook (CVE-2023-23397, оценка CVSS: 9,8) и ошибка выполнения кода в WinRAR (CVE-2023-38831, оценка CVSS: 7,8). ), демонстрируя свою ловкость в использовании публичных подвигов в своей тактике.
По словам Microsoft, цель развертывания GooseEgg — получить расширенный доступ к целевым системам и украсть учетные данные и информацию. Вредоносное ПО обычно развертывается вместе с пакетным сценарием и позволяет выполнять команды, запускающие эксплойт, и запускать определенные приложения с повышенными разрешениями, проверяя успех с помощью таких команд, как whoami.