GooseEgg Malware

साइबर सुरक्षा विश्लेषकों ने एक खतरनाक उपकरण की खोज की है जिसका उपयोग रूसी सरकार समर्थित हैकर्स द्वारा समझौता किए गए नेटवर्क के भीतर संवेदनशील क्रेडेंशियल प्राप्त करने के लिए किया जाता है। GooseEgg नामक यह मैलवेयर विंडोज प्रिंट स्पूलर सेवा के भीतर CVE-2022-38028 के रूप में पहचानी गई भेद्यता का लाभ उठाता है, जो जावास्क्रिप्ट प्रतिबंध फ़ाइल को बदलकर और सिस्टम-स्तरीय अनुमतियों के साथ इसे निष्पादित करके मुद्रण कार्यों को प्रबंधित करने के लिए जिम्मेदार है। विश्लेषकों ने नोट किया कि GooseEgg रूस की सैन्य खुफिया शाखा, GRU से संबद्ध APT28 के रूप में ज्ञात APT (उन्नत स्थायी खतरा) समूह के लिए अनन्य प्रतीत होता है।

निष्कर्षों के अनुसार, APT28 - जिसे फैंसी बियर और फॉरेस्ट ब्लिज़ार्ड के रूप में भी जाना जाता है - कम से कम जून 2020 से इस मैलवेयर को तैनात कर रहा है, जो यूक्रेन, पश्चिमी यूरोप और उत्तरी अमेरिका में राज्य संस्थानों, गैर सरकारी संगठनों, शैक्षिक प्रतिष्ठानों और परिवहन संस्थाओं सहित विभिन्न क्षेत्रों को लक्षित कर रहा है।

गूज़एग मैलवेयर साइबर अपराधियों को अपने हमले को बढ़ाने की अनुमति देता है

APT28 का लक्ष्य GooseEgg की तैनाती के माध्यम से लक्ष्य प्रणालियों तक उन्नत पहुँच प्राप्त करना और क्रेडेंशियल्स और संवेदनशील जानकारी चुराना है। आम तौर पर बैच स्क्रिप्ट के साथ तैनात, GooseEgg, एक सरल लॉन्चर एप्लिकेशन होने के बावजूद, कमांड लाइन के माध्यम से आदेशित, उन्नत अनुमतियों के साथ अन्य निर्दिष्ट एप्लिकेशन आरंभ करने की क्षमता रखता है। यह खतरे वाले अभिनेताओं को विभिन्न अनुवर्ती उद्देश्यों को पूरा करने में सक्षम बनाता है, जिसमें रिमोट कोड निष्पादन, बैकडोर इंस्टॉलेशन और समझौता किए गए नेटवर्क के भीतर पार्श्व आंदोलन शामिल हैं।

गूजएग बाइनरी शोषण को सक्रिय करने और या तो प्रदान की गई डायनेमिक-लिंक लाइब्रेरी (DLL) या उन्नत विशेषाधिकारों के साथ एक निष्पादन योग्य लॉन्च करने के लिए कमांड की सुविधा देता है। इसके अतिरिक्त, यह 'whoami' कमांड का उपयोग करके शोषण के सफल सक्रियण की पुष्टि करता है।

यद्यपि प्रिंट स्पूलर में सुरक्षा दोष को 2022 में ठीक कर दिया गया था, लेकिन जिन उपयोगकर्ताओं और संगठनों ने अभी तक इन सुधारों को लागू नहीं किया है, उन्हें दृढ़ता से सलाह दी जाती है कि वे अपने संगठन की सुरक्षा स्थिति को मजबूत करने के लिए तुरंत ऐसा करें।

APT28 साइबर अपराध परिदृश्य में एक प्रमुख खतरा बना हुआ है

माना जाता है कि APT28 का रूसी संघ की सैन्य खुफिया एजेंसी, रूसी संघ के सशस्त्र बलों के जनरल स्टाफ के मुख्य खुफिया निदेशालय (GRU) की यूनिट 26165 से संबंध है। लगभग 15 वर्षों से सक्रिय, क्रेमलिन द्वारा समर्थित यह हैकिंग समूह मुख्य रूप से रूसी सरकार के विदेश नीति उद्देश्यों का समर्थन करने के लिए खुफिया जानकारी जुटाने पर ध्यान केंद्रित करता है।

पिछले अभियानों में, APT28 हैकर्स ने माइक्रोसॉफ्ट आउटलुक (CVE-2023-23397) में विशेषाधिकार वृद्धि भेद्यता और WinRAR (CVE-2023-38831) में कोड निष्पादन दोष का फायदा उठाया है, जिससे उनके संचालन में सार्वजनिक शोषण को तेजी से शामिल करने की उनकी क्षमता का प्रदर्शन हुआ है।

जीआरयू से जुड़े हैकर्स आमतौर पर मध्य पूर्व, अमेरिका और यूरोप में सरकारी संस्थाओं, ऊर्जा फर्मों, परिवहन क्षेत्रों और गैर-सरकारी संगठनों सहित रणनीतिक खुफिया संपत्तियों पर अपना ध्यान केंद्रित करते हैं। इसके अतिरिक्त, शोधकर्ताओं ने मीडिया आउटलेट्स, सूचना प्रौद्योगिकी फर्मों, खेल संगठनों और शैक्षणिक संस्थानों को निशाना बनाने वाले एपीटी28 के उदाहरणों को नोट किया है।