与俄罗斯有联系的 APT28 黑客组织将 Microsoft Windows Print Spooler 组件中的安全漏洞武器化,以传播一种名为 GooseEgg 的先前未知的自定义恶意软件。
据称,该工具最早能追溯到 2019 年 4 月,至少从 2020 年 6 月开始使用,它利用了一个现已修补的缺陷,漏洞允许权限升级(CVE-2022-38028,CVSS 评分:7.8)。
Microsoft 在 2022 年 10 月发布的更新中解决了这个问题,美国国家安全局 (NSA) 当时报告了该缺陷。
根据微软威胁情报团队的最新发现,APT28组织将该漏洞武器化,用于针对乌克兰、西欧和北美政府、非政府、教育和交通的攻击部门组织。
至少从 2020 年 6 月开始,可能最早在 2019 年 4 月,Forest Blizzard 就使用该工具(微软称之为 GooseEgg)通过修改 JavaScript 约束文件并使用系统级权限执行该文件来利用 Windows Print Spooler 服务中的 CVE-2022-38028 漏洞。
Microsoft 观察到 Forest Blizzard 使用 GooseEgg 作为针对乌克兰、西欧和北美政府、非政府组织、教育和交通部门组织等目标的攻击活动的一部分。
虽然是一个简单的启动器应用程序,但 GooseEgg 能够生成在命令行中指定的具有提升权限的其他应用程序,允许攻击者支持任何后续目标,例如远程代码执行、安装后门以及通过受感染的网络横向移动。
近几个月来,APT28 黑客还滥用了 Microsoft Outlook 中的权限提升漏洞(CVE-2023-23397,CVSS 得分:9.8)和 WinRAR 中的代码执行漏洞(CVE-2023-38831,CVSS 得分:7.8),这表明他们能够迅速将流行安全漏洞应用到他们的间谍技术中。
微软表示:“Forest Blizzard(森林暴雪)部署 GooseEgg 的目的是获得对目标系统的更高访问权限并窃取凭据和信息。” “GooseEgg 通常使用批处理脚本进行部署。”
GooseEgg 二进制文件支持触发漏洞利用的命令并启动动态链接库 (DLL) 或具有提升权限的可执行文件。它还验证是否已使用 whoami 命令成功激活漏洞。
微软敦促客户尽快应用 2022 年发布的 Print Spooler 漏洞的安全更新以及 2021 年发布的 PrintNightmare 漏洞补丁。
“为了组织的安全,我们敦促尚未实施这些修复的客户尽快实施这些修复。此外,由于域控制器操作不需要打印后台处理程序服务,因此微软建议在域控制器上禁用该服务。”该公司指出。
根据 Malpedia 知识库,APT28 有一系列别名,包括:APT-C-20、ATK5、Blue Athena、Fancy Bear、FrozenLake、Fighting Ursa、Forest Blizzard、G0007、Grey-Cloud、Grizzly Steppe、Group 74、Group-4127、Iron Twilight、 Pawn Storm、SIG40、SnakeMackerel、Strontium、Sednit、Sofacy、Swallowtail、T-APT-12、TA422、TG-4127、Tsar Team、TsarTeam 和 UAC-0028。
APT28是一个网络间谍组织,据信与俄罗斯政府有联系。该组织可能自 2007 年开始运作,以政府、军队和安全组织为目标,它被描述为一种高级持续威胁。
据评估,Forest Blizzard(森林暴雪)隶属于俄罗斯联邦军事情报机构、俄罗斯联邦武装部队总参谋部主要情报局(GRU)第 26165 号部队。
该黑客组织活跃了近 15 年,其活动主要是收集情报以支持俄罗斯政府的外交政策。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/VTM6_VjyzNkRGk7gBXqXPg
暂无评论内容