Złośliwe oprogramowanie GooseEgg powiązane z rosyjskim Fancy Bear APT

APT28, ugrupowanie zagrażające powiązane z Rosją, wykorzystało lukę w zabezpieczeniach komponentu Bufor wydruku systemu Microsoft Windows, aby wdrożyć nowe niestandardowe złośliwe oprogramowanie o nazwie GooseEgg. To narzędzie po włamaniu, działające od co najmniej czerwca 2020 r. i potencjalnie już w kwietniu 2019 r., wykorzystywało załataną obecnie lukę umożliwiającą eskalację uprawnień (CVE-2022-38028, wynik CVSS: 7,8). Firma Microsoft rozwiązała ten problem w aktualizacjach wydanych w październiku 2022 r., co jest zasługą amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) za pierwsze zgłoszenie tego problemu.

Fantazyjny Miś wysłał Gęsie Jajo przeciwko różnym celom

Według ostatnich ustaleń zespołu ds. analizy zagrożeń firmy Microsoft, APT28 (znany również jako Fancy Bear i Forest Blizzard) wykorzystał tę lukę w atakach wymierzonych w organizacje rządowe, pozarządowe, edukacyjne i z sektora transportowego na Ukrainie, w Europie Zachodniej i Ameryce Północnej.

Forest Blizzard, prawdopodobnie powiązany z jednostką 26165 rosyjskiej agencji wywiadu wojskowego GRU, działa od około 15 lat, koncentrując się głównie na gromadzeniu informacji wywiadowczych w celu wspierania celów rosyjskiej polityki zagranicznej.

Poprzednie ataki Fantazyjnego Niedźwiedzia

Oprócz GooseEgg, APT28 wykorzystał inne luki, takie jak luka w eskalacji uprawnień w programie Microsoft Outlook (CVE-2023-23397, wynik CVSS: 9,8) i błąd wykonania kodu w WinRAR (CVE-2023-38831, wynik CVSS: 7,8 ), demonstrując swoją zwinność we włączaniu publicznych exploitów do swojej taktyki.

Według Microsoftu celem wdrożenia GooseEgg jest uzyskanie podwyższonego dostępu do systemów docelowych oraz kradzież danych uwierzytelniających i informacji. Szkodnik jest zwykle wdrażany wraz ze skryptem wsadowym i umożliwia wykonywanie poleceń uruchamiających exploita i uruchamiających określone aplikacje z podwyższonymi uprawnieniami, weryfikując powodzenie za pomocą poleceń takich jak whoami.