GooseEgg Malware

אנליסטים של אבטחת סייבר גילו כלי מאיים המשמש האקרים הנתמכים על ידי המדינה הרוסית כדי להשיג אישורים רגישים ברשתות שנפגעו. המכונה GooseEgg, תוכנה זדונית זו מנצלת פגיעות שזוהתה כ-CVE-2022-38028 בשירות Windows Print Spooler, האחראי על ניהול משימות הדפסה על ידי שינוי קובץ אילוצי JavaScript וביצועו עם הרשאות ברמת מערכת. אנליסטים מציינים שנראה כי GooseEgg היא בלעדית לקבוצת APT (Advanced Persistent Threat) הידועה בשם APT28 , המזוהה עם זרוע המודיעין הצבאית של רוסיה, GRU.

על פי הממצאים, APT28 - המוכר גם כדוב פנסי ו-Forest Blizzard - פורס את התוכנה הזדונית הזו מאז יוני 2020 לפחות, ומכוון למגזרים שונים, כולל מוסדות מדינה, ארגונים לא ממשלתיים, מוסדות חינוך וגופי תחבורה ברחבי אוקראינה, מערב אירופה והצפון. אמריקה.

התוכנה הזדונית של GooseEgg מאפשרת לפושעי סייבר להסלים את ההתקפה שלהם

APT28 שואפת להשיג גישה מוגברת למערכות יעד ואישורי גניבה ומידע רגיש באמצעות פריסת GooseEgg. פרוס בדרך כלל עם סקריפט אצווה, GooseEgg, למרות היותו יישום משגר פשוט, בעל יכולת ליזום יישומים שצוינו אחרים עם הרשאות גבוהות, לפי פקודה דרך שורת הפקודה. זה מאפשר לשחקני איומים לרדוף אחר יעדי המשך שונים, כולל ביצוע קוד מרחוק, התקנת דלת אחורית ותנועה לרוחב בתוך רשתות שנפגעו.

הבינארי GooseEgg מאפשר פקודות להפעיל את הניצול ולהפעיל ספריית קישורים דינמיים (DLL) או קובץ הפעלה עם הרשאות גבוהות. בנוסף, הוא מאמת את ההפעלה המוצלחת של הניצול באמצעות הפקודה 'whoami'.

למרות שפגם האבטחה ב-Print Spooler תוקן בשנת 2022, מומלץ מאוד למשתמשים וארגונים שעדיין לא יישמו את התיקונים הללו לעשות זאת בהקדם כדי לחזק את עמדת האבטחה של הארגון שלהם.

APT28 נשאר שחקן איום מרכזי בזירת פשעי הסייבר

על פי ההערכות, ל-APT28 יש קשרים עם יחידה 26165 של סוכנות הביון הצבאית של הפדרציה הרוסית, מנהלת המודיעין הראשית של המטה הכללי של הכוחות המזוינים של הפדרציה הרוסית (GRU). קבוצת הפריצה הזו, שפועלת במשך כמעט 15 שנים, בגיבוי הקרמלין, מתמקדת בעיקר באיסוף מודיעין כדי לתמוך ביעדי מדיניות החוץ של ממשלת רוסיה.

בקמפיינים קודמים, האקרים של APT28 ניצלו פגיעות של הסלמה של הרשאות ב-Microsoft Outlook (CVE-2023-23397) ופגם בביצוע קוד ב-WinRAR (CVE-2023-38831), והוכיחו את יכולתם לשלב ניצול ציבורי בפעולותיהם במהירות.

ההאקרים המזוהים עם ה-GRU ממקדים בדרך כלל את מאמציהם בנכסי מודיעין אסטרטגיים, כולל גופים ממשלתיים, חברות אנרגיה, מגזרי תחבורה וארגונים לא ממשלתיים ברחבי המזרח התיכון, ארה"ב ואירופה. בנוסף, חוקרים ציינו מקרים של APT28 ממוקד לכלי תקשורת, חברות טכנולוגיות מידע, ארגוני ספורט ומוסדות חינוך.