Связанный с Россией субъект угрозы национальному государству, отслеживаемый как APT28, использовал уязвимость системы безопасности в компоненте диспетчера очереди печати Microsoft Windows для доставки ранее неизвестного пользовательского вредоносного ПО под названием GooseEgg.
Инструмент для посткомпрометации, который, как утверждается, использовался как минимум с июня 2020 года и, возможно, уже в апреле 2019 года, использовал исправленную ошибку, которая позволяла повышать привилегии (CVE-2022-38028, оценка CVSS: 7,8).
Microsoft устранила эту проблему в рамках обновлений, выпущенных в октябре 2022 года, при этом Агентству национальной безопасности США (АНБ) приписали сообщение об ошибке в то время.
Согласно новым выводам команды по анализу угроз технологического гиганта, APT28, также называемая Fancy Bear и Forest Blizzard (ранее Strontium), использовала ошибку в атаках, нацеленных на украинские, западноевропейские и североамериканские правительственные, неправительственные организации, организации образования и транспортного сектора.
"Forest Blizzard использовала инструмент [...] для использования уязвимости CVE-2022-38028 в службе диспетчера очереди печати Windows путем изменения файла ограничений JavaScript и запуска его с разрешениями СИСТЕМНОГО уровня", - сказала компания.
"Являясь простым приложением для запуска, GooseEgg способен запускать другие приложения, указанные в командной строке, с повышенными разрешениями, позволяя субъектам угрозы поддерживать любые последующие цели, такие как удаленное выполнение кода, установка бэкдора и горизонтальное перемещение по скомпрометированным сетям".
Forest Blizzard, по оценкам, связана с подразделением 26165 управления военной разведки Российской Федерации, Главного разведывательного управления Генерального штаба Вооруженных Сил Российской Федерации (ГРУ).
Деятельность поддерживаемой Кремлем хакерской группы, действующей почти 15 лет, в основном направлена на сбор разведданных в поддержку внешнеполитических инициатив российского правительства.
В последние месяцы хакеры APT28 также злоупотребляли ошибкой с повышением привилегий в Microsoft Outlook (CVE-2023-23397, оценка CVSS: 9,8) и ошибкой при выполнении кода в WinRAR (CVE-2023-38831, оценка CVSS: 7,8), что указывает на их способность быстро внедрять общедоступные эксплойты в свои программы.
"Целью Forest Blizzard при развертывании GooseEgg является получение расширенного доступа к целевым системам и кража учетных данных и информации", - заявили в Microsoft. "GooseEgg обычно развертывается с помощью пакетного скрипта".
Двоичный файл GooseEgg поддерживает команды для запуска эксплойта и запуска либо предоставленной библиотеки динамических ссылок (DLL), либо исполняемого файла с повышенными разрешениями. Он также проверяет, был ли эксплойт успешно активирован с помощью команды whoami.
Раскрытие произошло после того, как IBM X-Force обнаружила новые фишинговые атаки, организованные Gamaredon actor (он же Aqua Blizzard, Hive0051 и UAC-0010), нацеленные на Украину и Польшу, которые распространяют новые версии вредоносного ПО GammaLoad -
"Весьма вероятно, что постоянное внедрение Hive0051 новых инструментов, возможностей и методов доставки способствует ускорению темпов операций".
Инструмент для посткомпрометации, который, как утверждается, использовался как минимум с июня 2020 года и, возможно, уже в апреле 2019 года, использовал исправленную ошибку, которая позволяла повышать привилегии (CVE-2022-38028, оценка CVSS: 7,8).
Microsoft устранила эту проблему в рамках обновлений, выпущенных в октябре 2022 года, при этом Агентству национальной безопасности США (АНБ) приписали сообщение об ошибке в то время.
Согласно новым выводам команды по анализу угроз технологического гиганта, APT28, также называемая Fancy Bear и Forest Blizzard (ранее Strontium), использовала ошибку в атаках, нацеленных на украинские, западноевропейские и североамериканские правительственные, неправительственные организации, организации образования и транспортного сектора.
"Forest Blizzard использовала инструмент [...] для использования уязвимости CVE-2022-38028 в службе диспетчера очереди печати Windows путем изменения файла ограничений JavaScript и запуска его с разрешениями СИСТЕМНОГО уровня", - сказала компания.
"Являясь простым приложением для запуска, GooseEgg способен запускать другие приложения, указанные в командной строке, с повышенными разрешениями, позволяя субъектам угрозы поддерживать любые последующие цели, такие как удаленное выполнение кода, установка бэкдора и горизонтальное перемещение по скомпрометированным сетям".
Forest Blizzard, по оценкам, связана с подразделением 26165 управления военной разведки Российской Федерации, Главного разведывательного управления Генерального штаба Вооруженных Сил Российской Федерации (ГРУ).
Деятельность поддерживаемой Кремлем хакерской группы, действующей почти 15 лет, в основном направлена на сбор разведданных в поддержку внешнеполитических инициатив российского правительства.
В последние месяцы хакеры APT28 также злоупотребляли ошибкой с повышением привилегий в Microsoft Outlook (CVE-2023-23397, оценка CVSS: 9,8) и ошибкой при выполнении кода в WinRAR (CVE-2023-38831, оценка CVSS: 7,8), что указывает на их способность быстро внедрять общедоступные эксплойты в свои программы.
"Целью Forest Blizzard при развертывании GooseEgg является получение расширенного доступа к целевым системам и кража учетных данных и информации", - заявили в Microsoft. "GooseEgg обычно развертывается с помощью пакетного скрипта".
Двоичный файл GooseEgg поддерживает команды для запуска эксплойта и запуска либо предоставленной библиотеки динамических ссылок (DLL), либо исполняемого файла с повышенными разрешениями. Он также проверяет, был ли эксплойт успешно активирован с помощью команды whoami.
Раскрытие произошло после того, как IBM X-Force обнаружила новые фишинговые атаки, организованные Gamaredon actor (он же Aqua Blizzard, Hive0051 и UAC-0010), нацеленные на Украину и Польшу, которые распространяют новые версии вредоносного ПО GammaLoad -
- GammaLoad.VBS, который представляет собой бэкдор на базе VBS, инициирующий цепочку заражения
- GammaStager, который используется для загрузки и выполнения серии полезных нагрузок VBS в кодировке Base64
- GammaLoadPlus, который используется для запуска .Полезные нагрузки EXE
- GammaInstall, который служит загрузчиком для известного бэкдора PowerShell, называемого GammaSteel
- GammaLoad.PS, реализация GammaLoad для PowerShell
- GammaLoadLight.PS, вариант PowerShell, который содержит код для распространения самого спреда на подключенные USB-устройства
- GammaInfo, скрипт перечисления на основе PowerShell, собирающий различную информацию с хоста
- GammaSteel, вредоносное ПО на базе PowerShell для удаления файлов у жертвы на основе списка разрешенных расширений
"Весьма вероятно, что постоянное внедрение Hive0051 новых инструментов, возможностей и методов доставки способствует ускорению темпов операций".
