GooseEgg Malware

Analytici kybernetickej bezpečnosti objavili hrozivý nástroj používaný ruskými štátom podporovanými hackermi na získanie citlivých poverení v ohrozených sieťach. Tento malvér s názvom GooseEgg využíva zraniteľnosť označenú ako CVE-2022-38028 v rámci služby Windows Print Spooler, ktorá je zodpovedná za správu tlačových úloh zmenou súboru obmedzení JavaScriptu a jeho spustením s povoleniami na úrovni SYSTÉMU. Analytici poznamenávajú, že GooseEgg sa zdá byť exkluzívny pre skupinu APT (Advanced Persistent Threat) známu ako APT28 , ktorá je pridružená k ruskej vojenskej spravodajskej jednotke GRU.

Podľa zistení APT28 – tiež známy ako Fancy Bear a Forest Blizzard – nasadzuje tento malvér minimálne od júna 2020, pričom sa zameriava na rôzne sektory vrátane štátnych inštitúcií, mimovládnych organizácií, vzdelávacích zariadení a dopravných subjektov na Ukrajine, v západnej Európe a na severe. Amerike.

Malvér GooseEgg umožňuje kyberzločincom eskalovať ich útok

Cieľom APT28 je dosiahnuť zvýšený prístup k cieľovým systémom a kradnúť poverenia a citlivé informácie prostredníctvom nasadenia GooseEgg. GooseEgg, ktorý je zvyčajne nasadený pomocou dávkového skriptu, napriek tomu, že je to jednoduchá spúšťacia aplikácia, má schopnosť spúšťať ďalšie špecifikované aplikácie so zvýšenými povoleniami, ako je prikázané cez príkazový riadok. To umožňuje aktérom hrozieb sledovať rôzne následné ciele, vrátane vzdialeného spúšťania kódu, inštalácie backdoor a laterálneho pohybu v ohrozených sieťach.

Binárny súbor GooseEgg uľahčuje príkazy na aktiváciu exploitu a spustenie poskytnutej dynamickej knižnice (DLL) alebo spustiteľného súboru so zvýšenými oprávneniami. Okrem toho overuje úspešnú aktiváciu exploitu pomocou príkazu „whoami“.

Hoci bezpečnostná chyba v Print Spooler bola opravená v roku 2022, používateľom a organizáciám, ktoré ešte musia implementovať tieto opravy, sa dôrazne odporúča, aby tak urobili čo najskôr, aby sa posilnila bezpečnostná situácia ich organizácie.

APT28 zostáva kľúčovou hrozbou na scéne počítačovej kriminality

Predpokladá sa, že APT28 má spojenie s jednotkou 26165 Vojenskej spravodajskej služby Ruskej federácie, Hlavného spravodajského riaditeľstva Generálneho štábu Ozbrojených síl Ruskej federácie (GRU). Táto hackerská skupina, ktorá funguje už takmer 15 rokov, podporovaná Kremľom, sa primárne zameriava na zhromažďovanie spravodajských informácií na podporu cieľov zahraničnej politiky ruskej vlády.

V minulých kampaniach hackeri APT28 využili zraniteľnosť pri eskalácii privilégií v programe Microsoft Outlook (CVE-2023-23397) a chybu spustenia kódu vo WinRAR (CVE-2023-38831), čím demonštrovali svoju schopnosť rýchlo začleniť verejné zneužitia do svojich operácií.

Hackeri pridružení k GRU zvyčajne zameriavajú svoje úsilie na strategické spravodajské aktíva vrátane vládnych subjektov, energetických firiem, dopravných sektorov a mimovládnych organizácií na Strednom východe, v USA a Európe. Okrem toho výskumníci zaznamenali prípady, keď sa APT28 zameriaval na médiá, firmy v oblasti informačných technológií, športové organizácie a vzdelávacie inštitúcie.