Κακόβουλο λογισμικό GooseEgg

Αναλυτές κυβερνοασφάλειας ανακάλυψαν ένα απειλητικό εργαλείο που χρησιμοποιείται από ρωσικούς χάκερ που υποστηρίζονται από το κράτος για την απόκτηση ευαίσθητων διαπιστευτηρίων σε παραβιασμένα δίκτυα. Με το όνομα GooseEgg, αυτό το κακόβουλο λογισμικό αξιοποιεί μια ευπάθεια που προσδιορίζεται ως CVE-2022-38028 στην υπηρεσία Windows Print Spooler, υπεύθυνη για τη διαχείριση εργασιών εκτύπωσης αλλάζοντας ένα αρχείο περιορισμών JavaScript και εκτελώντας το με δικαιώματα σε επίπεδο ΣΥΣΤΗΜΑΤΟΣ. Οι αναλυτές σημειώνουν ότι το GooseEgg φαίνεται να ανήκει αποκλειστικά σε μια ομάδα APT (Advanced Persistent Threat) γνωστή ως APT28 , η οποία συνδέεται με το στρατιωτικό σκέλος πληροφοριών της Ρωσίας, το GRU.

Σύμφωνα με τα ευρήματα, το APT28 - επίσης αναγνωρισμένο ως Fancy Bear και Forest Blizzard - έχει αναπτύξει αυτό το κακόβουλο λογισμικό από τουλάχιστον τον Ιούνιο του 2020, στοχεύοντας διάφορους τομείς, συμπεριλαμβανομένων κρατικών ιδρυμάτων, ΜΚΟ, εκπαιδευτικών ιδρυμάτων και φορέων μεταφορών σε όλη την Ουκρανία, τη Δυτική Ευρώπη και τον Βορρά. Αμερική.

Το κακόβουλο λογισμικό GooseEgg επιτρέπει στους εγκληματίες του κυβερνοχώρου να κλιμακώσουν την επίθεσή τους

Το APT28 στοχεύει στην επίτευξη αυξημένης πρόσβασης σε συστήματα-στόχους και κλοπής διαπιστευτηρίων και ευαίσθητων πληροφοριών μέσω της ανάπτυξης του GooseEgg. Συνήθως αναπτύσσεται με ένα σενάριο δέσμης, το GooseEgg, παρόλο που είναι μια απλή εφαρμογή εκκίνησης, διαθέτει τη δυνατότητα εκκίνησης άλλων καθορισμένων εφαρμογών με αυξημένα δικαιώματα, όπως εντολές μέσω της γραμμής εντολών. Αυτό δίνει τη δυνατότητα στους φορείς απειλών να επιδιώκουν διάφορους επόμενους στόχους, συμπεριλαμβανομένης της απομακρυσμένης εκτέλεσης κώδικα, της εγκατάστασης σε κερκόπορτα και της πλευρικής κίνησης εντός δικτύων σε κίνδυνο.

Το δυαδικό GooseEgg διευκολύνει τις εντολές για την ενεργοποίηση του exploit και την εκκίνηση είτε μιας παρεχόμενης βιβλιοθήκης δυναμικής σύνδεσης (DLL) είτε ενός εκτελέσιμου αρχείου με αυξημένα δικαιώματα. Επιπλέον, επαληθεύει την επιτυχή ενεργοποίηση του exploit χρησιμοποιώντας την εντολή 'whoami'.

Παρόλο που το ελάττωμα ασφαλείας στο Print Spooler επιδιορθώθηκε το 2022, οι χρήστες και οι οργανισμοί που δεν έχουν ακόμη εφαρμόσει αυτές τις διορθώσεις συνιστάται θερμά να το κάνουν αμέσως για να ενισχύσουν τη στάση ασφαλείας του οργανισμού τους.

Το APT28 παραμένει βασικός πρωταγωνιστής απειλής στη σκηνή του εγκλήματος στον κυβερνοχώρο

Το APT28 πιστεύεται ότι έχει δεσμούς με τη Μονάδα 26165 της στρατιωτικής υπηρεσίας πληροφοριών της Ρωσικής Ομοσπονδίας, την Κύρια Διεύθυνση Πληροφοριών του Γενικού Επιτελείου των Ενόπλων Δυνάμεων της Ρωσικής Ομοσπονδίας (GRU). Λειτουργώντας για σχεδόν 15 χρόνια, αυτή η ομάδα χάκερ, που υποστηρίζεται από το Κρεμλίνο, επικεντρώνεται κυρίως στη συλλογή πληροφοριών για την υποστήριξη των στόχων εξωτερικής πολιτικής της ρωσικής κυβέρνησης.

Σε προηγούμενες καμπάνιες, οι χάκερ του APT28 έχουν εκμεταλλευτεί μια ευπάθεια κλιμάκωσης προνομίων στο Microsoft Outlook (CVE-2023-23397) και ένα ελάττωμα εκτέλεσης κώδικα στο WinRAR (CVE-2023-38831), επιδεικνύοντας την ικανότητά τους να ενσωματώνουν δημόσια εκμεταλλεύσεις στη λειτουργία τους.

Οι χάκερ που συνδέονται με την GRU συνήθως εστιάζουν τις προσπάθειές τους σε στρατηγικά στοιχεία πληροφοριών, συμπεριλαμβανομένων κυβερνητικών φορέων, ενεργειακών εταιρειών, τομέων μεταφορών και μη κυβερνητικών οργανώσεων σε όλη τη Μέση Ανατολή, τις ΗΠΑ και την Ευρώπη. Επιπλέον, οι ερευνητές έχουν σημειώσει περιπτώσεις APT28 που στοχεύει μέσα ενημέρωσης, εταιρείες τεχνολογίας πληροφοριών, αθλητικούς οργανισμούς και εκπαιδευτικά ιδρύματα.