鵝蛋惡意軟體

網路安全分析師發現，俄羅斯國家支持的駭客利用一種威脅工具來取得受感染網路中的敏感憑證。該惡意軟體名為 GooseEgg，利用 Windows Print Spooler 服務中標識為 CVE-2022-38028 的漏洞，負責透過更改 JavaScript 約束檔案並使用系統級權限執行它來管理列印任務。分析師指出，GooseEgg 似乎是一個名為APT28的 APT（高級持續威脅）組織所獨有，該組織隸屬於俄羅斯軍事情報部門 GRU。

根據調查結果，APT28（也被稱為Fancy Bear 和Forest Blizzard）至少自2020 年6 月起就一直在部署這種惡意軟體，目標包括烏克蘭、西歐和北歐的國家機構、非政府組織、教育機構和交通實體等各部門。

GooseEgg 惡意軟體允許網路犯罪分子升級攻擊

APT28 旨在透過部署 GooseEgg 來提高對目標系統的存取權限並竊取憑證和敏感資訊。 GooseEgg 通常使用批次腳本進行部署，儘管它是一個簡單的啟動器應用程序，但它具有透過命令列命令以提升的權限啟動其他指定應用程式的能力。這使得威脅行為者能夠追求各種後續目標，包括遠端程式碼執行、後門安裝以及受感染網路內的橫向移動。

GooseEgg 二進位檔案有助於命令啟動漏洞並啟動提供的動態連結程式庫 (DLL) 或具有提升權限的可執行檔。此外，它還使用「whoami」指令驗證漏洞是否成功啟動。

儘管 Print Spooler 中的安全漏洞已於 2022 年修復，但強烈建議尚未實施這些修復的使用者和組織立即實施修復，以增強組織的安全態勢。

APT28 仍然是網路犯罪現場的主要威脅者

據信，APT28 與俄羅斯聯邦軍事情報機構、俄羅斯聯邦武裝部隊總參謀部主要情報局 (GRU) 的 26165 部隊有聯繫。這個駭客組織在克里姆林宮的支持下運作了近 15 年，主要致力於情報收集，以支持俄羅斯政府的外交政策目標。

在過去的活動中，APT28 駭客利用了Microsoft Outlook 中的權限升級漏洞(CVE-2023-23397) 和WinRAR 中的程式碼執行漏洞(CVE-2023-38831)，展示了他們將公共漏洞快速納入其操作的能力。

隸屬於 GRU 的駭客通常將工作重點放在戰略情報資產上，包括中東、美國和歐洲的政府實體、能源公司、交通部門和非政府組織。此外，研究人員也注意到 APT28 針對媒體機構、資訊科技公司、體育組織和教育機構的實例。