Državni haker povezan sa Rusijom, koji se prati kao APT28, iskoristio je sigurnosni propust u komponenti Microsoft Windows Print Spooler za isporuku ranije nepoznatog prilagođenog malvera pod nazivom GooseEgg.
Postkompromisni alat, za koji se kaže da se koristio najmanje od juna 2020, a vjerovatno već od aprila 2019, koristio je sada zakrpljenu manu koja je omogućila eskalaciju privilegija (CVE-2022-38028, CVSS rezultat: 7,8).
Microsoft je riješio ovaj problem kao dio ažuriranja objavljenih u oktobru 2022. godine, pri čemu je Američka nacionalna bezbednosna agencija (NSA) zaslužna za prijavljivanje greške u to vreme.
Prema novim nalazima tima za obavještavanje o prijetnjama tehnološkog giganta, APT28 – također nazvan Fancy Bear i Forest Blizzard (bivši Strontium) – aktivirao je bug u napadima usmjerenim na ukrajinsku, zapadnoevropsku i sjevernoameričku vladu, sektor nevladine organizacije, obrazovanja i transporta.
„Forest Blizzard je koristio alat […] da iskoristi ranjivost CVE-2022-38028 u servisu Windows Print Spooler tako što je modifikovao datoteku sa ograničenjima JavaScript i izvršio je sa dozvolama na nivou SISTEMA“, saopštila je kompanija .
„Dok je jednostavna aplikacija za pokretanje, GooseEgg je sposoban pokrenuti druge aplikacije navedene u komandnoj liniji s povišenim dozvolama, omogućavajući hakerima da podrže sve naredne ciljeve kao što su daljinsko izvršavanje koda, instaliranje backdoor-a i bočno kretanje kroz ugrožene mreže.”
Procjenjuje se da je Forest Blizzard povezan sa Jedinicom 26165 vojne obavještajne agencije Ruske Federacije, Glavnog obavještajnog direktorata Generalštaba Oružanih snaga Ruske Federacije (GRU).
Aktivna skoro 15 godina, aktivnosti hakerske grupe koju podržava Kremlj uglavnom su usmjerene na prikupljanje obavještajnih podataka kao podršku inicijativama ruske vlade u vanjskoj politici.
Posljednjih mjeseci, APT28 hakeri su također zloupotrijebili grešku u povećanju privilegija u Microsoft Outlook-u (CVE-2023-23397, CVSS rezultat: 9,8) i grešku u izvršavanju koda u WinRAR-u (CVE-2023-38831, CVSS rezultat: 7,8), što ukazuje na njihovu sposobnost da brzo usvoje javne eksploate u svoje veštine.
“Cilj Forest Blizzard-a u implementaciji GooseEgg-a je da dobije povećani pristup ciljnim sistemima i ukrade kredencijale i informacije”, rekao je Microsoft. “GooseEgg se obično postavlja sa batch skriptom.”
Binarni fajl GooseEgg podržava komande za pokretanje eksploatacije i pokretanje ili zadate dinamičke biblioteke veza (DLL) ili izvršne datoteke sa povišenim dozvolama. Takođe provjerava da li je eksploatacija uspješno aktivirana koristeći komandu whoami.
Razotkrivanje dolazi kada je IBM X-Force otkrio nove phishing napade koje je orkestrirao haker Gamaredon (aka Aqua Blizzard, Hive0051 i UAC-0010) usmjerene na Ukrajinu i Poljsku koje isporučuju nove iteracije malvera GammaLoad –
- GammaLoad.VBS, koji je backdoor baziran na VBS-u koji pokreće lanac infekcije
- GammaStager, koji se koristi za preuzimanje i izvršavanje niza Base64 kodiranih VBS korisnih opterećenja
- GammaLoadPlus, koji se koristi za pokretanje .EXE korisnih učitavanja
- GammaInstall, koji služi kao loader za poznati PowerShell backdoor koji se naziva GammaSteel
- GammaLoad.PS, PowerShell implementacija GammaLoad-a
- GammaLoadLight.PS, PowerShell varijanta koja sadrži kod za širenje na povezane USB uređaje
- GammaInfo, skripta za nabrajanje zasnovana na PowerShell-u koja prikuplja različite informacije od hosta
- GammaSteel, malver baziran na PowerShell-u za eksfiltriranje datoteka od žrtve na osnovu liste dozvoljenih ekstenzija
“Hive0051 rotira infrastrukturu putem sinhronizovanog protoka DNS-a preko više kanala uključujući Telegram, Telegraph i Filetransfer.io”, rekli su istraživači IBM X-Force ranije ovog mjeseca, navodeći da to “ukazuje na potencijalno povećanje resursa i sposobnosti hakera posvećenih tekućim operacijama.”
“Veoma je vjerovatno da dosljedno postavljanje novih alata, sposobnosti i metoda isporuke Hive0051 olakšava ubrzani tempo operacija.”
Izvor: The Hacker News