GooseEgg 惡意軟體與俄羅斯 Fancy Bear APT 相關

APT28 是與俄羅斯有關的威脅行為者，利用 Microsoft Windows Print Spooler 元件中的安全漏洞部署了名為 GooseEgg 的新自訂惡意軟體。這種妥協後的工具至少從2020 年6 月開始運行，最早可能從2019 年4 月開始運行，它利用了一個現已修補的缺陷，可實現權限升級（CVE-2022-38028，CVSS 評分：7.8 ）。 Microsoft 在 2022 年 10 月發布的更新中解決了此問題，並感謝美國國家安全局 (NSA) 最初報告了該問題。

花式熊針對各種目標部署了鵝蛋

根據微軟威脅情報團隊的最新調查結果，APT28（也稱為 Fancy Bear 和 Forest Blizzard）利用此漏洞對烏克蘭、西歐和北美的政府、非政府、教育和交通部門組織發動攻擊。

森林暴雪據信與俄羅斯軍事情報機構 GRU 的 26165 部隊有關聯，已活躍約 15 年，主要致力於情報收集以支持俄羅斯外交政策目標。

花式熊之前的攻擊

除了GooseEgg 之外，APT28 還利用了其他漏洞，例如Microsoft Outlook 中的權限提升缺陷（CVE-2023-23397，CVSS 評分：9.8）和WinRAR 中的程式碼執行錯誤（CVE-2023-38831，CVSS 評分：7.8 ） ），展示了他們將公共利用納入其戰術的敏捷性。

據微軟稱，部署 GooseEgg 的目標是獲得對目標系統的更高存取權限並竊取憑證和資訊。該惡意軟體通常與批次腳本一起部署，並允許執行命令來觸發漏洞並以提升的權限啟動指定的應用程序，透過 whoami 等命令驗證是否成功。