圈小蛙
被追踪为APT28的与俄罗斯有关联的民族国家威胁行为体利用Microsoft Windows Print Spooler组件中的一个安全漏洞,发布了一款以前未知的名为”GooseEgg“的定制恶意软件。
据称,该入侵后工具至少从2020年6月开始使用,可能最早从2019年4月开始使用,它利用了一个现已修补的漏洞,允许权限升级(CVE-2022-38028,CVSS评分:7.8)。
Microsoft在2022年10月发布的更新中解决了这个问题,美国国家安全局(NSA)当时报告了该漏洞。
根据这家科技巨头威胁情报团队的最新发现,APT28(也称为Fancy Bear和Forest Blizzard(以前称为Strontium))将该漏洞武器化,用于针对乌克兰、西欧和北美政府、非政府、教育和交通的攻击部门组织。
“Forest Blizzard使用该工具[…]通过修改JavaScript约束文件并以SYSTEM级权限执行,利用了Windows Print Spooler服务中的CVE-2022-38028漏洞,”该公司表示。
“虽然GooseEgg是一个简单的启动器应用程序,但它能够以提升的权限生成在命令行中指定的其他应用程序,从而允许威胁行为者支持任何后续目标,例如远程代码执行、安装后门以及通过受感染的网络横向移动。”
据评估,Forest Blizzard隶属于俄罗斯联邦军事情报机构、俄罗斯联邦武装部队总参谋部主要情报局(GRU)第26165部队。
这个克里姆林宫支持的黑客组织活跃了近15年,其活动主要是收集情报以支持俄罗斯政府的外交政策举措。
近几个月来,APT28黑客组织还滥用了Microsoft Outlook中的权限升级漏洞(CVE-2023-23397,CVSS得分:9.8)和WinRAR中的代码执行漏洞(CVE-2023-38831,CVSS得分:7.8),这表明他们能够迅速将公共漏洞应用到他们的间谍技术中。
微软表示:“Forest Blizzard部署GooseEgg的目的是获得对目标系统的更高访问权限并窃取凭据和信息。”“GooseEgg通常使用批处理脚本进行部署。”
GooseEgg二进制文件支持触发漏洞利用的命令并启动提供的动态链接库(DLL)或具有提升权限的可执行文件。它还验证是否已使用whoami命令成功激活漏洞。
此次披露之际,IBMX-Force披露了由Gamaredon攻击者(又名Aqua Blizzard、Hive0051和UAC-0010)针对乌克兰和波兰精心策划的新网络钓鱼攻击,这些攻击提供了GammaLoad恶意软件的新版本-
- GammaLoad.VBS,这是一个基于VBS的启动感染链的后门
- GammaStager,用于下载并执行一系列Base64编码的VBS有效负载
- GammaLoadPlus,用于运行.EXE有效负载
- GammaInstall,充当已知PowerShell后门(称为GammaSteel)的加载程序
- GammaLoad.PS,GammaLoad的PowerShell实现
- GammaLoadLight.PS,一种PowerShell变体,包含将传播本身传播到连接的USB设备的代码
- GammaInfo,一个基于PowerShell的枚举脚本,从主机收集各种信息
- GammaSteel,一种基于PowerShell的恶意软件,可根据扩展允许列表从受害者那里窃取文件
IBMX-Force研究人员在本月早些时候的一份分析中表示:“Hive0051通过跨多个渠道(包括Telegram、Telegraph和Filetransfer.io)的同步DNS流量来轮换基础设施”,并指出它“表明参与者资源和致力于持续进行的能力的潜在提升”运营。”
“Hive0051持续部署新的工具、功能和交付方法很可能有助于加快运营节奏。”
俄罗斯黑客擅长将各种漏洞武器化,之前,曾经利用过MSHTML漏洞。