GooseEgg Kötü Amaçlı Yazılım

Siber güvenlik analistleri, Rus devlet destekli bilgisayar korsanlarının ele geçirilen ağlarda hassas kimlik bilgileri elde etmek için kullandıkları tehdit edici bir araç keşfetti. GooseEgg olarak adlandırılan bu kötü amaçlı yazılım, Windows Yazdırma Biriktiricisi hizmeti içinde CVE-2022-38028 olarak tanımlanan bir güvenlik açığından yararlanıyor; bu güvenlik açığı, bir JavaScript kısıtlama dosyasını değiştirerek ve bunu SİSTEM düzeyinde izinlerle yürüterek yazdırma görevlerini yönetmekten sorumludur. Analistler, GooseEgg'in, Rusya'nın askeri istihbarat kolu GRU'ya bağlı, APT28 olarak bilinen bir APT (Gelişmiş Kalıcı Tehdit) grubuna özel göründüğünü belirtiyor.

Bulgulara göre, Fancy Bear ve Forest Blizzard olarak da bilinen APT28, bu kötü amaçlı yazılımı en az Haziran 2020'den bu yana kullanıyor ve Ukrayna, Batı Avrupa ve Kuzey'deki devlet kurumları, STK'lar, eğitim kurumları ve ulaşım kuruluşları da dahil olmak üzere çeşitli sektörleri hedef alıyor. Amerika.

GooseEgg Kötü Amaçlı Yazılımı Siber Suçluların Saldırılarını Arttırmasına Olanak Sağlıyor

APT28, GooseEgg'in konuşlandırılması yoluyla hedef sistemlere daha yüksek erişim elde etmeyi ve kimlik bilgileri ile hassas bilgileri çalmayı amaçlamaktadır. Tipik olarak bir toplu komut dosyasıyla dağıtılan GooseEgg, basit bir başlatıcı uygulaması olmasına rağmen, komut satırı aracılığıyla komut verildiği şekilde diğer belirtilen uygulamaları yükseltilmiş izinlerle başlatma yeteneğine sahiptir. Bu, tehdit aktörlerinin uzaktan kod yürütme, arka kapı kurulumu ve güvenliği ihlal edilmiş ağlarda yanal hareket dahil olmak üzere çeşitli takip hedeflerini takip etmesine olanak tanır.

GooseEgg ikili dosyası, istismarın etkinleştirilmesine ve sağlanan bir dinamik bağlantı kitaplığı (DLL) veya yükseltilmiş ayrıcalıklara sahip bir yürütülebilir dosyanın başlatılmasına yönelik komutları kolaylaştırır. Ek olarak, 'whoami' komutunu kullanarak istismarın başarıyla etkinleştirildiğini doğrular.

Yazdırma Biriktiricisi'ndeki güvenlik kusuru 2022'de düzeltilmiş olsa da, henüz bu düzeltmeleri uygulamayan kullanıcı ve kuruluşlara, kuruluşlarının güvenlik duruşunu güçlendirmek için bunu hemen yapmaları önemle tavsiye edilir.

APT28 Siber Suç Sahnesinde Önemli Tehdit Aktörü Olmaya Devam Ediyor

APT28'in, Rusya Federasyonu'nun askeri istihbarat teşkilatı olan Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü'nün (GRU) 26165 Birimi ile bağlantılı olduğuna inanılıyor. Yaklaşık 15 yıldır faaliyet gösteren ve Kremlin tarafından desteklenen bu hack grubu, öncelikle Rus hükümetinin dış politika hedeflerini desteklemek için istihbarat toplamaya odaklanıyor.

Geçmiş kampanyalarda, APT28 bilgisayar korsanları, Microsoft Outlook'taki bir ayrıcalık yükseltme güvenlik açığından (CVE-2023-23397) ve WinRAR'daki bir kod yürütme kusurundan (CVE-2023-38831) yararlanarak, genel açıkları operasyonlarına hızlı bir şekilde dahil etme yeteneklerini ortaya koydu.

GRU'ya bağlı bilgisayar korsanları, çalışmalarını genellikle Orta Doğu, ABD ve Avrupa'daki devlet kurumları, enerji firmaları, ulaştırma sektörleri ve sivil toplum kuruluşları dahil olmak üzere stratejik istihbarat varlıklarına odaklıyor. Ek olarak araştırmacılar, APT28'in medya kuruluşlarını, bilgi teknolojisi firmalarını, spor organizasyonlarını ve eğitim kurumlarını hedef alan örneklerine dikkat çekti.