„GooseEgg“ kenkėjiška programa, susieta su „Russian Fancy Bear APT“.
APT28, grėsmės veikėjas, susijęs su Rusija, panaudojo „Microsoft Windows Print Spooler“ komponento saugos pažeidžiamumą, kad įdiegtų naują tinkintą kenkėjišką programą pavadinimu „GooseEgg“. Šis įrankis po kompromiso, veikiantis mažiausiai nuo 2020 m. birželio mėn. ir galbūt jau 2019 m. balandžio mėn., pasinaudojo dabar pataisyta klaida, leidžiančia išplėsti privilegijas (CVE-2022-38028, CVSS balas: 7,8). „Microsoft“ išsprendė šią problemą naujinimuose, išleistuose 2022 m. spalio mėn., dėkodama JAV Nacionalinei saugumo agentūrai (NSA), kuri iš pradžių pranešė apie tai.
Išgalvotas lokys dislokavo žąsies kiaušinį prieš įvairius taikinius
Remiantis naujausiomis „Microsoft“ grėsmių žvalgybos komandos išvadomis, APT28 (taip pat žinomas kaip „Fancy Bear“ ir „Forest Blizzard“) panaudojo šį pažeidžiamumą atakoms, nukreiptoms prieš vyriausybines, nevyriausybines, švietimo ir transporto sektoriaus organizacijas Ukrainoje, Vakarų Europoje ir Šiaurės Amerikoje.
„Forest Blizzard“, kaip manoma, susijusi su Rusijos karinės žvalgybos agentūros GRU padaliniu 26165, veikė maždaug 15 metų, daugiausia dėmesio skirdama žvalgybos duomenų rinkimui, siekiant paremti Rusijos užsienio politikos tikslus.
Ankstesni išgalvoti lokio išpuoliai
Be „GooseEgg“, APT28 išnaudojo ir kitus pažeidžiamumus, pvz., „Microsoft Outlook“ privilegijų eskalavimo trūkumą (CVE-2023-23397, CVSS balas: 9,8) ir WinRAR kodo vykdymo klaidą (CVE-2023-38831, CVSS balas: 7. ), demonstruodami savo judrumą įtraukdami viešus išnaudojimus į savo taktiką.
„Microsoft“ teigimu, „GooseEgg“ diegimo tikslas yra gauti didesnę prieigą prie tikslinių sistemų ir pasisavinti kredencialus bei informaciją. Kenkėjiška programa paprastai įdiegiama kartu su paketiniu scenarijumi ir leidžia vykdyti komandas, kad suaktyvintų išnaudojimą ir paleisti nurodytas programas su padidintais leidimais, patikrinant sėkmę naudojant komandas, pvz., whoami.