Пов’язана з росією група кібершпигунів APT28 використовувала вразливості Windows Print Spooler для розгортання спеціального інструменту проти численних організацій у США, Україні та Західній Європі. Про це повідомляє Security Week.
Унікальний інструмент під назвою GooseEgg – це проста програма запуску, яка може створювати інші програми з підвищеними привілеями, надаючи зловмисникам такі можливості, як дистанційне виконання коду, бекдорне розгортання та бічний рух.
Щоб доставити GooseEgg, APT28, який Microsoft відстежує як Forest Blizzard, використав вразливості CVE-2022-38028, CVE-2023-23397, а також CVE-2021-34527 і CVE-2021-1675 (відомі як PrintNightmare).
За інформацією Microsoft, ці атаки були спрямовані на урядові, неурядові, освітні й транспортні організації, щоб підвищити привілеї на скомпрометовані системи та викрасти облікові дані й іншу інформацію.
GooseEgg зазвичай розгортається разом із пакетним сценарієм, відповідальним за налаштування, збереження та виклик виконуваного файлу. Його бінарний файл приймає чотири команди для видачі спеціального коду повернення, запуску експлойту та запуску DLL або виконуваного файлу із підвищеними привілеями, а також для перевірки експлойту та його успішності.
У Microsoft повідомили, що зловмисне програмне забезпечення створює ключі реєстру для запуску спеціального обробника протоколу та реєстрації нового CLSID, який діє як COM-сервер для нього. Потім символічне посилання диска C: замінюється в диспетчері об’єктів, щоб воно вказувало на керований актором каталог, який містить пакети драйверів для завантаження служби диспетчера друку.
Крім того, зловмисне програмне забезпечення виправляє функцію для виклику фальшивого протоколу та запуску допоміжної DLL у контексті PrintSpooler із системними дозволами.
Ця бібліотека є базовою програмою запуску, здатною створювати інші програми, вказані у командному рядку з дозволами на системному рівні, даючи змогу суб’єктам загрози виконувати інші зловмисні дії. Зокрема, встановлення бекдору, переміщення в бік через скомпрометовані мережі та віддалене виконання коду, пояснили у корпорації.
Технологічний гігант закликає клієнтів застосувати оновлення безпеки для вразливості PrintSpooler, випущене у 2022 році, а також виправлення вразливостей PrintNightmare, випущені роком раніше.
«Клієнтам, які ще не впровадили ці виправлення, радимо зробити це якнайшвидше для безпеки їхньої організації. Крім того, оскільки служба PrintSpooler не потрібна для роботи контролера домену, Microsoft рекомендує відключити службу на контролерах домену», – зазначили представники компанії.
Microsoft також оприлюднила індикатори компрометації (IOC), пов’язані зі спостережуваними атаками, і додаткові ресурси, щоб допомогти організаціям шукати потенційні інфекції GooseEgg.
Вважається, що APT28 пов’язана з Головним розвідувальним управлінням російського Генштабу. Група відома тим, що збирає розвіддані на організації в США, Європі та на Близькому Сході на підтримку зовнішньополітичних ініціатив російського уряду.
Раніше ми повідомляли, що Microsoft Threat Intelligence випустила попередження про те, що російський державний актор APT28 (він же Fancybear або Strontium) активно використовує недолік CVE-2023-23397 Outlook для викрадення облікових записів Microsoft Exchange і конфіденційної інформації.
Також українська урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA розкрила плани хакерської групи UAC-0133 (Sandworm) атакувати інформаційно-комунікаційні системи (ІКС) близько 20 підприємств критичної інфраструктури у 10 регіонах України.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!