GooseEgg Malware knyttet til Russian Fancy Bear APT

APT28, en trusselsaktør knyttet til Rusland, brugte en sikkerhedssårbarhed i Microsoft Windows Print Spooler-komponenten til at implementere en ny brugerdefineret malware ved navn GooseEgg. Dette post-kompromisværktøj, operationelt siden mindst juni 2020 og potentielt så tidligt som i april 2019, udnyttede en nu rettet fejl, der muliggjorde privilegieeskalering (CVE-2022-38028, CVSS-score: 7,8). Microsoft adresserede dette problem i opdateringer udgivet i oktober 2022, med ære til US National Security Agency (NSA) for indledningsvis at rapportere det.

Fancy bjørn satte gåseæg mod forskellige mål

Ifølge nylige resultater fra Microsofts trusselsefterretningsteam udnyttede APT28 (også kendt som Fancy Bear og Forest Blizzard) denne sårbarhed i angreb rettet mod regerings-, ikke-statslige organisationer, uddannelses- og transportsektorens organisationer i Ukraine, Vesteuropa og Nordamerika.

Forest Blizzard, der menes at være tilknyttet enhed 26165 i det russiske militære efterretningsagentur GRU, har været aktiv i omkring 15 år, primært med fokus på efterretningsindsamling for at støtte russiske udenrigspolitiske mål.

Fancy Bears tidligere angreb

Ud over GooseEgg har APT28 udnyttet andre sårbarheder, såsom en privilegie-eskaleringsfejl i Microsoft Outlook (CVE-2023-23397, CVSS-score: 9,8) og en kodeeksekveringsfejl i WinRAR (CVE-2023-38831, CVSS-score: 7,8) ), der demonstrerer deres smidighed ved at inkorporere offentlige bedrifter i deres taktik.

Målet med at implementere GooseEgg, ifølge Microsoft, er at opnå øget adgang til målsystemer og stjålne legitimationsoplysninger og information. Malwaren er typisk implementeret sammen med et batch-script og giver mulighed for at udføre kommandoer for at udløse udnyttelsen og starte specificerede applikationer med forhøjede tilladelser, hvilket bekræfter succes gennem kommandoer som whoami.