GooseEgg Malware

Các nhà phân tích an ninh mạng đã phát hiện ra một công cụ đe dọa được các tin tặc được nhà nước Nga hậu thuẫn sử dụng để lấy thông tin xác thực nhạy cảm trong các mạng bị xâm nhập. Được đặt tên là GooseEgg, phần mềm độc hại này lợi dụng lỗ hổng được xác định là CVE-2022-38028 trong dịch vụ Windows Print Spooler, chịu trách nhiệm quản lý các tác vụ in bằng cách thay đổi tệp ràng buộc JavaScript và thực thi nó với các quyền ở cấp HỆ THỐNG. Các nhà phân tích lưu ý rằng GooseEgg dường như chỉ dành riêng cho nhóm APT (Mối đe dọa liên tục nâng cao) được gọi là APT28 , liên kết với cơ quan tình báo quân sự của Nga, GRU.

Theo phát hiện, APT28—còn được gọi là Fancy Bear và Forest Blizzard—đã triển khai phần mềm độc hại này ít nhất từ tháng 6 năm 2020, nhắm mục tiêu vào nhiều lĩnh vực khác nhau, bao gồm các tổ chức nhà nước, tổ chức phi chính phủ, cơ sở giáo dục và các đơn vị vận tải trên khắp Ukraina, Tây Âu và Bắc Âu. Mỹ.

Phần mềm độc hại GooseEgg cho phép tội phạm mạng tăng cường tấn công

APT28 nhằm mục đích đạt được quyền truy cập nâng cao vào các hệ thống mục tiêu và đánh cắp thông tin xác thực cũng như thông tin nhạy cảm thông qua việc triển khai GooseEgg. Thường được triển khai với tập lệnh bó, GooseEgg, mặc dù là một ứng dụng khởi chạy đơn giản, nhưng lại có khả năng khởi chạy các ứng dụng được chỉ định khác với quyền nâng cao, như được ra lệnh thông qua dòng lệnh. Điều này cho phép các tác nhân đe dọa theo đuổi nhiều mục tiêu tiếp theo khác nhau, bao gồm thực thi mã từ xa, cài đặt cửa sau và di chuyển bên trong các mạng bị xâm nhập.

Tệp nhị phân GooseEgg tạo điều kiện cho các lệnh kích hoạt khai thác và khởi chạy thư viện liên kết động (DLL) được cung cấp hoặc tệp thực thi có đặc quyền nâng cao. Ngoài ra, nó xác minh việc kích hoạt thành công việc khai thác bằng lệnh 'whoami'.

Mặc dù lỗ hổng bảo mật trong Bộ đệm máy in đã được vá vào năm 2022, nhưng người dùng và tổ chức chưa triển khai các bản sửa lỗi này được khuyên nên thực hiện kịp thời để tăng cường tình trạng bảo mật cho tổ chức của họ.

APT28 vẫn là tác nhân đe dọa chính trong bối cảnh tội phạm mạng

APT28 được cho là có quan hệ với Đơn vị 26165 của cơ quan tình báo quân sự Liên bang Nga, Tổng cục tình báo chính của Bộ Tổng tham mưu các lực lượng vũ trang Liên bang Nga (GRU). Hoạt động được gần 15 năm, nhóm hack này, được hỗ trợ bởi Điện Kremlin, chủ yếu tập trung vào việc thu thập thông tin tình báo để hỗ trợ các mục tiêu chính sách đối ngoại của chính phủ Nga.

Trong các chiến dịch trước đây, tin tặc APT28 đã khai thác lỗ hổng leo thang đặc quyền trong Microsoft Outlook (CVE-2023-23397) và lỗ hổng thực thi mã trong WinRAR (CVE-2023-38831), chứng tỏ khả năng kết hợp các hoạt động khai thác công khai vào hoạt động của chúng một cách nhanh chóng.

Các tin tặc liên kết với GRU thường tập trung nỗ lực vào các tài sản tình báo chiến lược, bao gồm các cơ quan chính phủ, công ty năng lượng, ngành vận tải và các tổ chức phi chính phủ trên khắp Trung Đông, Mỹ và Châu Âu. Ngoài ra, các nhà nghiên cứu đã ghi nhận các trường hợp APT28 nhắm mục tiêu vào các cơ quan truyền thông, công ty công nghệ thông tin, tổ chức thể thao và tổ chức giáo dục.