GooseEgg 악성코드

사이버 보안 분석가들은 러시아 정부의 지원을 받는 해커들이 손상된 네트워크 내에서 민감한 자격 증명을 얻기 위해 사용하는 위협 도구를 발견했습니다. GooseEgg라고 명명된 이 악성코드는 Windows Print Spooler 서비스 내에서 CVE-2022-38028로 식별된 취약점을 이용합니다. 이 취약점은 JavaScript 제약 조건 파일을 변경하고 시스템 수준 권한으로 실행하여 인쇄 작업을 관리하는 역할을 합니다. 분석가들은 GooseEgg가 러시아 군사 정보 기관인 GRU와 연계된 APT28 로 알려진 APT(Advanced Persistant Threat) 그룹에 독점적인 것으로 보인다고 지적합니다.

조사 결과에 따르면, Fancy Bear 및 Forest Blizzard로도 알려진 APT28은 최소 2020년 6월부터 우크라이나, 서유럽 및 북부 지역의 국가 기관, NGO, 교육 기관 및 교통 기관을 포함한 다양한 부문을 표적으로 삼아 이 악성 코드를 배포해 왔습니다. 미국.

GooseEgg 악성코드로 인해 사이버범죄자들의 공격 확대 가능

APT28은 GooseEgg 배포를 통해 대상 시스템에 대한 액세스 권한을 높이고 자격 증명과 민감한 정보를 훔치는 것을 목표로 합니다. 일반적으로 배치 스크립트를 사용하여 배포되는 GooseEgg는 간단한 실행 프로그램임에도 불구하고 명령줄을 통해 명령을 받은 대로 높은 권한으로 다른 지정된 애플리케이션을 시작할 수 있는 기능을 보유하고 있습니다. 이를 통해 위협 행위자는 원격 코드 실행, 백도어 설치, 손상된 네트워크 내 측면 이동 등 다양한 후속 목표를 추구할 수 있습니다.

GooseEgg 바이너리는 익스플로잇을 활성화하고 제공된 동적 링크 라이브러리(DLL) 또는 높은 권한으로 실행 파일을 실행하는 명령을 용이하게 합니다. 또한 'whoami' 명령을 사용하여 익스플로잇이 성공적으로 활성화되었는지 확인합니다.

인쇄 스풀러의 보안 결함은 2022년에 패치되었지만 아직 이러한 수정 사항을 구현하지 않은 사용자와 조직은 조직의 보안 태세를 강화하기 위해 즉시 수정하는 것이 좋습니다.

APT28은 사이버 범죄 현장의 주요 위협 행위자로 남아 있습니다.

APT28은 러시아 연방군 정보국(GRU)의 주요 정보국인 러시아 연방 군사 정보국의 26165부대와 관련이 있는 것으로 추정됩니다. 거의 15년 동안 운영된 이 해킹 그룹은 크렘린의 지원을 받으며 주로 러시아 정부의 외교 정책 목표를 지원하기 위한 정보 수집에 중점을 두고 있습니다.

과거 캠페인에서 APT28 해커는 Microsoft Outlook의 권한 상승 취약점(CVE-2023-23397)과 WinRAR의 코드 실행 결함(CVE-2023-38831)을 악용하여 공개 공격을 작업에 신속하게 통합하는 능력을 보여주었습니다.

GRU에 소속된 해커들은 일반적으로 중동, 미국 및 유럽 전역의 정부 기관, 에너지 회사, 운송 부문 및 비정부 조직을 포함한 전략적 정보 자산에 노력을 집중합니다. 또한 연구원들은 언론 매체, 정보 기술 회사, 스포츠 조직 및 교육 기관을 표적으로 삼는 APT28 사례를 발견했습니다.