البرامج الضارة GooseEgg

اكتشف محللو الأمن السيبراني أداة تهديد يستخدمها المتسللون المدعومين من الدولة الروسية للحصول على بيانات اعتماد حساسة داخل الشبكات المخترقة. تستفيد هذه البرامج الضارة، التي يطلق عليها اسم GooseEgg، من ثغرة أمنية تم تحديدها باسم CVE-2022-38028 داخل خدمة Windows Print Spooler، المسؤولة عن إدارة مهام الطباعة عن طريق تغيير ملف قيود JavaScript وتنفيذه باستخدام أذونات على مستوى النظام. ويشير المحللون إلى أن GooseEgg يبدو أنه حصري لمجموعة APT (التهديدات المستمرة المتقدمة) المعروفة باسم APT28 ، التابعة لذراع الاستخبارات العسكرية الروسية، GRU.

ووفقًا للنتائج، فإن APT28 - المعروفة أيضًا باسم Fancy Bear وForest Blizzard - تنشر هذه البرامج الضارة منذ يونيو 2020 على الأقل، مستهدفة قطاعات مختلفة، بما في ذلك مؤسسات الدولة والمنظمات غير الحكومية والمؤسسات التعليمية وكيانات النقل عبر أوكرانيا وأوروبا الغربية وشمال البلاد. أمريكا.

تسمح البرمجيات الخبيثة GooseEgg لمجرمي الإنترنت بتصعيد هجومهم

تهدف APT28 إلى تحقيق وصول مرتفع إلى الأنظمة المستهدفة وسرقة بيانات الاعتماد والمعلومات الحساسة من خلال نشر GooseEgg. يتم نشر GooseEgg عادةً باستخدام برنامج نصي دفعي، وعلى الرغم من كونه تطبيق مشغل بسيط، فإنه يمتلك القدرة على بدء تطبيقات محددة أخرى بأذونات مرتفعة، كما هو مطلوب عبر سطر الأوامر. وهذا يتيح للجهات الفاعلة في مجال التهديد متابعة أهداف المتابعة المختلفة، بما في ذلك تنفيذ التعليمات البرمجية عن بعد، وتثبيت الباب الخلفي، والحركة الجانبية داخل الشبكات المعرضة للخطر.

يسهل برنامج GooseEgg الثنائي أوامر تنشيط الاستغلال وإطلاق إما مكتبة الارتباط الديناميكي المتوفرة (DLL) أو ملف قابل للتنفيذ بامتيازات مرتفعة. بالإضافة إلى ذلك، فإنه يتحقق من نجاح تفعيل الثغرة باستخدام الأمر 'whoami'.

على الرغم من أنه تم تصحيح الخلل الأمني في Print Spooler في عام 2022، إلا أنه يُنصح بشدة المستخدمين والمؤسسات الذين لم ينفذوا هذه الإصلاحات بعد بالقيام بذلك على الفور لتعزيز الوضع الأمني لمؤسساتهم.

لا تزال APT28 تمثل تهديدًا رئيسيًا في مسرح الجرائم الإلكترونية

ويُعتقد أن APT28 لها علاقات مع الوحدة 26165 التابعة لوكالة الاستخبارات العسكرية للاتحاد الروسي، ومديرية الاستخبارات الرئيسية لهيئة الأركان العامة للقوات المسلحة للاتحاد الروسي (GRU). تعمل مجموعة القرصنة هذه، المدعومة من الكرملين، منذ ما يقرب من 15 عامًا، في المقام الأول على جمع المعلومات الاستخبارية لدعم أهداف السياسة الخارجية للحكومة الروسية.

في الحملات السابقة، استغل قراصنة APT28 ثغرة أمنية في تصعيد الامتيازات في Microsoft Outlook (CVE-2023-23397) وثغرة في تنفيذ التعليمات البرمجية في WinRAR (CVE-2023-38831)، مما يدل على قدرتهم على دمج عمليات الاستغلال العامة في عملياتهم بسرعة.

عادةً ما يركز المتسللون المرتبطون بـ GRU جهودهم على أصول الاستخبارات الاستراتيجية، بما في ذلك الكيانات الحكومية وشركات الطاقة وقطاعات النقل والمنظمات غير الحكومية في جميع أنحاء الشرق الأوسط والولايات المتحدة وأوروبا. بالإضافة إلى ذلك، لاحظ الباحثون حالات APT28 التي تستهدف وسائل الإعلام وشركات تكنولوجيا المعلومات والمنظمات الرياضية والمؤسسات التعليمية.