GooseEgg pahavara

Küberjulgeoleku analüütikud on avastanud ähvardava tööriista, mida kasutavad Venemaa riiklikult toetatud häkkerid tundlike mandaatide hankimiseks ohustatud võrkudes. GooseEggiks nimetatud pahavara kasutab ära haavatavust, mis on tuvastatud kui CVE-2022-38028 Windowsi prindispuuleri teenuses, mis vastutab printimisülesannete haldamise eest, muutes JavaScripti piirangute faili ja käivitades selle SÜSTEEMI-taseme õigustega. Analüütikud märgivad, et GooseEgg näib olevat eksklusiivne APT (Advanced Persistent Threat) rühmale, mida tuntakse nime all APT28 ja mis on seotud Venemaa sõjaväeluure GRU-ga.

Tulemuste kohaselt on APT28 – tuntud ka kui Fancy Bear ja Forest Blizzard – kasutanud seda pahavara vähemalt alates 2020. aasta juunist, sihitud eri sektoritele, sealhulgas riigiasutustele, valitsusvälistele organisatsioonidele, haridusasutustele ja transpordiüksustele kogu Ukrainas, Lääne-Euroopas ja Põhja-Euroopas. Ameerika.

GooseEggi pahavara võimaldab küberkurjategijatel oma rünnakut eskaleerida

APT28 eesmärk on saavutada GooseEggi juurutamise kaudu kõrgem juurdepääs sihtsüsteemidele ning volituste ja tundliku teabe röövimine. Tavaliselt pakettskriptiga juurutatud GooseEggil on hoolimata sellest, et see on lihtne käivitusrakendus, võime käivitada muid määratud rakendusi kõrgendatud õigustega, nagu seda käsurealt antakse. See võimaldab ohus osalejatel järgida erinevaid eesmärke, sealhulgas koodi kaugkäivitamine, tagaukse installimine ja külgmine liikumine ohustatud võrkudes.

GooseEggi kahendfail hõlbustab käskude andmist, mis aktiveerivad ärakasutamise ja käivitavad kas pakutava dünaamilise lingi teegi (DLL) või kõrgendatud õigustega käivitatava faili. Lisaks kontrollib see ärakasutamise edukat aktiveerimist, kasutades käsku "whoami".

Kuigi prindispuuleri turvaviga parandati 2022. aastal, soovitatakse kasutajatel ja organisatsioonidel, kes pole neid parandusi veel rakendanud, tungivalt teha seda kiiresti, et tugevdada oma organisatsiooni turvalisust.

APT28 on endiselt küberkuritegevuse stseeni peamine ohunäitleja

Arvatakse, et APT28-l on sidemed Vene Föderatsiooni sõjaväeluureagentuuri, Vene Föderatsiooni relvajõudude peastaabi (GRU) luure peadirektoraadi üksusega 26165. See Kremli toetatud häkkimisrühmitus, mis on tegutsenud peaaegu 15 aastat, keskendub peamiselt luureandmete kogumisele, et toetada Venemaa valitsuse välispoliitilisi eesmärke.

Varasemates kampaaniates on APT28 häkkerid kasutanud Microsoft Outlooki privileegide suurendamise haavatavust (CVE-2023-23397) ja WinRAR-i koodikäivitusviga (CVE-2023-38831), näidates nende võimet lisada oma tegevustesse kiiresti avalikke ärakasutusi.

GRU-ga seotud häkkerid keskenduvad tavaliselt strateegilistele luurevaradele, sealhulgas valitsusüksustele, energiafirmadele, transpordisektoritele ja valitsusvälistele organisatsioonidele kogu Lähis-Idas, USA-s ja Euroopas. Lisaks on teadlased täheldanud juhtumeid, kus APT28 on suunatud meediaväljaannetele, infotehnoloogiafirmadele, spordiorganisatsioonidele ja haridusasutustele.