GooseEgg 恶意软件与俄罗斯 Fancy Bear APT 有关
APT28 是一个与俄罗斯有关的威胁行为者,它利用 Microsoft Windows 打印后台处理程序组件中的安全漏洞部署了名为 GooseEgg 的新自定义恶意软件。这款入侵后的工具至少从 2020 年 6 月开始运行,可能早在 2019 年 4 月就开始运行,它利用了一个现已修补的漏洞,可实现权限提升 (CVE-2022-38028,CVSS 评分:7.8)。微软在 2022 年 10 月发布的更新中解决了这个问题,并感谢美国国家安全局 (NSA) 最初报告了这个问题。
Fancy Bear 针对各种目标部署了 GooseEgg
根据微软威胁情报团队的最新发现,APT28(又名Fancy Bear、Forest Blizzard)利用此漏洞对乌克兰、西欧和北美的政府、非政府组织、教育和交通部门组织发起了攻击。
据信,“森林暴雪”与俄罗斯军事情报机构 GRU 26165 部队有联系,已活跃约 15 年,主要致力于收集情报以支持俄罗斯的外交政策目标。
花式熊先前的攻击
除了 GooseEgg 之外,APT28 还利用了其他漏洞,例如 Microsoft Outlook 中的权限提升漏洞(CVE-2023-23397,CVSS 评分:9.8)和 WinRAR 中的代码执行错误(CVE-2023-38831,CVSS 评分:7.8),展示了他们将公开的漏洞利用纳入其策略的灵活性。
据微软称,部署 GooseEgg 的目的是获得目标系统的高级访问权限并窃取凭证和信息。该恶意软件通常与批处理脚本一起部署,允许执行命令以触发漏洞并以高级权限启动指定的应用程序,并通过 whoami 等命令验证是否成功。