GooseEgg Malware kopplad till Russian Fancy Bear APT

APT28, en hotaktör kopplad till Ryssland, använde en säkerhetssårbarhet i Microsoft Windows Print Spooler-komponenten för att distribuera en ny anpassad skadlig programvara som heter GooseEgg. Detta verktyg efter kompromiss, som är i drift sedan åtminstone juni 2020 och potentiellt så tidigt som i april 2019, utnyttjade ett nu korrigerat fel som möjliggjorde privilegieskalering (CVE-2022-38028, CVSS-poäng: 7,8). Microsoft åtgärdade detta problem i uppdateringar som släpptes i oktober 2022, med beröm till US National Security Agency (NSA) för att de initialt rapporterade det.

Fancy Bear utplacerade gåsägg mot olika mål

Enligt de senaste rönen från Microsofts team för hotintelligens, använde APT28 (även känd som Fancy Bear och Forest Blizzard) denna sårbarhet i attacker riktade mot statliga, icke-statliga organisationer, utbildnings- och transportsektororganisationer i Ukraina, Västeuropa och Nordamerika.

Forest Blizzard, som tros vara associerad med enhet 26165 i den ryska militära underrättelsetjänsten GRU, har varit aktiv i cirka 15 år, främst med fokus på underrättelseinsamling för att stödja ryska utrikespolitiska mål.

Fancy Bears tidigare attacker

Förutom GooseEgg har APT28 utnyttjat andra sårbarheter, såsom en privilegieskaleringsbrist i Microsoft Outlook (CVE-2023-23397, CVSS-poäng: 9,8) och en kodexekveringsbugg i WinRAR (CVE-2023-38831, CVSS-poäng: 7,8) ), som visar sin smidighet när det gäller att införliva offentliga bedrifter i sin taktik.

Målet med att distribuera GooseEgg, enligt Microsoft, är att få ökad tillgång till målsystem och snatteriuppgifter och information. Skadlig programvara distribueras vanligtvis tillsammans med ett batchskript och gör det möjligt att köra kommandon för att utlösa exploateringen och starta specifika applikationer med förhöjda behörigheter, vilket verifierar framgång genom kommandon som whoami.