GooseEgg 惡意軟體與俄羅斯 Fancy Bear APT 相關
APT28 是與俄羅斯有關的威脅行為者,利用 Microsoft Windows Print Spooler 元件中的安全漏洞部署了名為 GooseEgg 的新自訂惡意軟體。這種妥協後的工具至少從2020 年6 月開始運行,最早可能從2019 年4 月開始運行,它利用了一個現已修補的缺陷,可實現權限升級(CVE-2022-38028,CVSS 評分:7.8 )。 Microsoft 在 2022 年 10 月發布的更新中解決了此問題,並感謝美國國家安全局 (NSA) 最初報告了該問題。
花式熊針對各種目標部署了鵝蛋
根據微軟威脅情報團隊的最新調查結果,APT28(也稱為 Fancy Bear 和 Forest Blizzard)利用此漏洞對烏克蘭、西歐和北美的政府、非政府、教育和交通部門組織發動攻擊。
森林暴雪據信與俄羅斯軍事情報機構 GRU 的 26165 部隊有關聯,已活躍約 15 年,主要致力於情報收集以支持俄羅斯外交政策目標。
花式熊之前的攻擊
除了GooseEgg 之外,APT28 還利用了其他漏洞,例如Microsoft Outlook 中的權限提升缺陷(CVE-2023-23397,CVSS 評分:9.8)和WinRAR 中的程式碼執行錯誤(CVE-2023-38831,CVSS 評分:7.8 ) ),展示了他們將公共利用納入其戰術的敏捷性。
據微軟稱,部署 GooseEgg 的目標是獲得對目標系統的更高存取權限並竊取憑證和資訊。該惡意軟體通常與批次腳本一起部署,並允許執行命令來觸發漏洞並以提升的權限啟動指定的應用程序,透過 whoami 等命令驗證是否成功。