GooseEgg Malware

Analitičari kibernetičke sigurnosti otkrili su prijeteći alat koji koriste hakeri koje podupire ruska država za dobivanje osjetljivih vjerodajnica unutar kompromitiranih mreža. Nazvan GooseEgg, ovaj zlonamjerni softver koristi ranjivost identificiranu kao CVE-2022-38028 unutar usluge Windows Print Spooler, odgovorne za upravljanje zadacima ispisa mijenjanjem datoteke ograničenja JavaScripta i njezinim izvođenjem s dozvolama na razini SUSTAVA. Analitičari primjećuju da se čini da je GooseEgg ekskluzivan za APT (Advanced Persistent Threat) skupinu poznatu kao APT28 , povezanu s ruskom vojno-obavještajnom službom GRU.

Prema nalazima, APT28—također prepoznat kao Fancy Bear i Forest Blizzard—uvodi ovaj zlonamjerni softver od najmanje lipnja 2020., ciljajući na različite sektore, uključujući državne institucije, nevladine organizacije, obrazovne ustanove i prijevozničke subjekte diljem Ukrajine, zapadne Europe i sjevera. Amerika.

Zlonamjerni softver GooseEgg omogućuje kibernetičkim kriminalcima da eskaliraju svoje napade

APT28 ima za cilj postići poboljšani pristup ciljnim sustavima i ukrasti vjerodajnice i osjetljive informacije kroz implementaciju GooseEgg-a. Obično raspoređen sa skupnom skriptom, GooseEgg, unatoč tome što je jednostavna aplikacija za pokretanje, posjeduje mogućnost pokretanja drugih navedenih aplikacija s povišenim dopuštenjima, prema naredbi putem naredbenog retka. To akterima prijetnji omogućuje postizanje raznih naknadnih ciljeva, uključujući daljinsko izvršavanje koda, backdoor instalaciju i bočno kretanje unutar ugroženih mreža.

GooseEgg binarna datoteka olakšava naredbe za aktiviranje eksploatacije i pokretanje ili ponuđene biblioteke dinamičkog povezivanja (DLL) ili izvršne datoteke s povišenim privilegijama. Dodatno, provjerava uspješnu aktivaciju exploita pomoću naredbe 'whoami'.

Iako je sigurnosni propust u Print Spooleru zakrpan 2022., korisnicima i organizacijama koje tek trebaju implementirati te popravke toplo se savjetuje da to učine odmah kako bi poboljšali sigurnosno stanje svoje organizacije.

APT28 ostaje ključni akter prijetnje na sceni kibernetičkog kriminala

Vjeruje se da APT28 ima veze s jedinicom 26165 vojne obavještajne agencije Ruske Federacije, Glavnom obavještajnom upravom Glavnog stožera Oružanih snaga Ruske Federacije (GRU). Djelujući već gotovo 15 godina, ova hakerska skupina, koju podržava Kremlj, prvenstveno se fokusira na prikupljanje obavještajnih podataka kako bi poduprla vanjskopolitičke ciljeve ruske vlade.

U prošlim kampanjama, APT28 hakeri su iskoristili ranjivost eskalacije privilegija u Microsoft Outlooku (CVE-2023-23397) i grešku u izvršavanju koda u WinRAR-u (CVE-2023-38831), pokazujući svoju sposobnost brzog uključivanja javnih eksploatacija u svoje operacije.

Hakeri povezani s GRU-om obično usmjeravaju svoje napore na strateška obavještajna sredstva, uključujući vladina tijela, energetske tvrtke, transportne sektore i nevladine organizacije diljem Bliskog istoka, SAD-a i Europe. Osim toga, istraživači su primijetili slučajeve APT28 koji ciljaju medijske kuće, tvrtke informacijske tehnologije, sportske organizacije i obrazovne ustanove.