GooseEgg 恶意软件与俄罗斯 Fancy Bear APT 有关

APT28 是一个与俄罗斯有关的威胁行为者，它利用 Microsoft Windows 打印后台处理程序组件中的安全漏洞部署了名为 GooseEgg 的新自定义恶意软件。这款入侵后的工具至少从 2020 年 6 月开始运行，可能早在 2019 年 4 月就开始运行，它利用了一个现已修补的漏洞，可实现权限提升 (CVE-2022-38028，CVSS 评分：7.8)。微软在 2022 年 10 月发布的更新中解决了这个问题，并感谢美国国家安全局 (NSA) 最初报告了这个问题。

Fancy Bear 针对各种目标部署了 GooseEgg

根据微软威胁情报团队的最新发现，APT28（又名Fancy Bear、Forest Blizzard）利用此漏洞对乌克兰、西欧和北美的政府、非政府组织、教育和交通部门组织发起了攻击。

据信，“森林暴雪”与俄罗斯军事情报机构 GRU 26165 部队有联系，已活跃约 15 年，主要致力于收集情报以支持俄罗斯的外交政策目标。

花式熊先前的攻击

除了 GooseEgg 之外，APT28 还利用了其他漏洞，例如 Microsoft Outlook 中的权限提升漏洞（CVE-2023-23397，CVSS 评分：9.8）和 WinRAR 中的代码执行错误（CVE-2023-38831，CVSS 评分：7.8），展示了他们将公开的漏洞利用纳入其策略的灵活性。

据微软称，部署 GooseEgg 的目的是获得目标系统的高级访问权限并窃取凭证和信息。该恶意软件通常与批处理脚本一起部署，允许执行命令以触发漏洞并以高级权限启动指定的应用程序，并通过 whoami 等命令验证是否成功。