GooseEgg Malware

นักวิเคราะห์ความปลอดภัยทางไซเบอร์ได้ค้นพบเครื่องมือคุกคามที่ใช้โดยแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐรัสเซียเพื่อรับข้อมูลประจำตัวที่ละเอียดอ่อนภายในเครือข่ายที่ถูกบุกรุก มัลแวร์ชื่อ GooseEgg ใช้ประโยชน์จากช่องโหว่ที่ระบุว่าเป็น CVE-2022-38028 ภายในบริการ Windows Print Spooler ซึ่งรับผิดชอบในการจัดการงานพิมพ์โดยการแก้ไขไฟล์ข้อจำกัดของ JavaScript และดำเนินการด้วยสิทธิ์ระดับระบบ นักวิเคราะห์ตั้งข้อสังเกตว่า GooseEgg ดูเหมือนว่าจะเป็นกลุ่มพิเศษเฉพาะของกลุ่ม APT (Advanced Persistent Threat) ที่รู้จักกันในชื่อ APT28 ซึ่งอยู่ในเครือของ GRU ซึ่งเป็นหน่วยข่าวกรองทางทหารของรัสเซีย

จากการค้นพบพบว่า APT28 หรือที่รู้จักกันในชื่อ Fancy Bear และ Forest Blizzard ได้ติดตั้งมัลแวร์นี้ตั้งแต่อย่างน้อยเดือนมิถุนายน 2563 โดยกำหนดเป้าหมายไปที่ภาคส่วนต่างๆ รวมถึงสถาบันของรัฐ องค์กรพัฒนาเอกชน สถานศึกษา และหน่วยงานการขนส่งทั่วยูเครน ยุโรปตะวันตก และภาคเหนือ อเมริกา.

มัลแวร์ GooseEgg ช่วยให้อาชญากรไซเบอร์เพิ่มการโจมตีได้

APT28 มีเป้าหมายเพื่อให้สามารถเข้าถึงระบบเป้าหมายได้ในระดับที่สูงขึ้น และขโมยข้อมูลประจำตัวและข้อมูลที่ละเอียดอ่อนผ่านการปรับใช้ GooseEgg โดยทั่วไปแล้ว GooseEgg จะใช้งานด้วยสคริปต์แบบแบตช์ แม้ว่าจะเป็นแอปพลิเคชันตัวเรียกใช้งานแบบธรรมดา แต่ก็มีความสามารถในการเริ่มต้นแอปพลิเคชันอื่นๆ ที่ระบุด้วยสิทธิ์ระดับสูง ตามที่ได้รับคำสั่งผ่านบรรทัดคำสั่ง สิ่งนี้ช่วยให้ผู้คุกคามสามารถติดตามวัตถุประสงค์ต่างๆ ตามมาได้ รวมถึงการเรียกใช้โค้ดจากระยะไกล การติดตั้งแบ็คดอร์ และการเคลื่อนไหวด้านข้างภายในเครือข่ายที่ถูกบุกรุก

ไบนารี GooseEgg อำนวยความสะดวกให้กับคำสั่งเพื่อเปิดใช้งานการหาประโยชน์และเปิดใช้งานไดนามิกลิงก์ไลบรารี (DLL) ที่ให้มาหรือปฏิบัติการที่มีสิทธิ์ระดับสูง นอกจากนี้ยังตรวจสอบการเปิดใช้งานช่องโหว่ได้สำเร็จโดยใช้คำสั่ง 'whoami'

แม้ว่าข้อบกพร่องด้านความปลอดภัยใน Print Spooler ได้รับการแก้ไขในปี 2022 แต่ผู้ใช้และองค์กรที่ยังไม่ได้ใช้การแก้ไขเหล่านี้ ขอแนะนำอย่างยิ่งให้ดำเนินการดังกล่าวทันทีเพื่อเสริมมาตรการรักษาความปลอดภัยขององค์กร

APT28 ยังคงเป็นภัยคุกคามหลักในฉากอาชญากรรมไซเบอร์

เชื่อกันว่า APT28 มีความเกี่ยวข้องกับหน่วย 26165 ของหน่วยข่าวกรองทหารของสหพันธรัฐรัสเซีย ซึ่งเป็นหน่วยข่าวกรองหลักของเจ้าหน้าที่ทั่วไปของกองทัพแห่งสหพันธรัฐรัสเซีย (GRU) กลุ่มแฮ็กเกอร์กลุ่มนี้ดำเนินงานมาเกือบ 15 ปี ซึ่งได้รับการสนับสนุนจากเครมลิน โดยมุ่งเน้นที่การรวบรวมข่าวกรองเป็นหลักเพื่อสนับสนุนวัตถุประสงค์นโยบายต่างประเทศของรัฐบาลรัสเซีย

ในแคมเปญที่ผ่านมา แฮกเกอร์ APT28 ได้ใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ใน Microsoft Outlook (CVE-2023-23397) และข้อบกพร่องในการเรียกใช้โค้ดใน WinRAR (CVE-2023-38831) ซึ่งแสดงให้เห็นถึงความสามารถในการรวมเอาช่องโหว่สาธารณะเข้ากับการดำเนินงานของพวกเขาได้อย่างรวดเร็ว

แฮกเกอร์ที่เกี่ยวข้องกับ GRU มักจะมุ่งความสนใจไปที่ทรัพย์สินข่าวกรองเชิงกลยุทธ์ รวมถึงหน่วยงานภาครัฐ บริษัทพลังงาน ภาคการขนส่ง และองค์กรพัฒนาเอกชนทั่วตะวันออกกลาง สหรัฐอเมริกา และยุโรป นอกจากนี้ นักวิจัยยังได้ตั้งข้อสังเกตถึงกรณีที่ APT28 กำหนดเป้าหมายไปที่สื่อ บริษัทเทคโนโลยีสารสนเทศ องค์กรกีฬา และสถาบันการศึกษา