Microsoft, Rus APT28 Tehdit Grubunun, Gooseegg adlı daha önce bilinmeyen bir hackleme aracını kullanarak ayrıcalıkları artırmak ve kimlik bilgilerini ve verileri çalmak için Windows baskısı biriktirici güvenlik açığından yararlandığı konusunda uyarıyor.
APT28, bu aracı CVE-2022-38028 güvenlik açığından yararlanmak için kullanıyor "" En azından Haziran 2020'den beri ve muhtemelen Nisan 2019 gibi erken bir tarihte. "
Redmond, ABD Ulusal Güvenlik Ajansı tarafından Salı günü Microsoft Ekim 2022 yaması sırasında bildirilen kırılganlığı düzeltti, ancak henüz danışmanlığında aktif olarak kullanıldığı gibi etiketlemedi.
Rusya'nın Ana İstihbarat Genelkurmay Müdürlüğü (GRU) 26165 askeri biriminin bir parçası olan askeri bilgisayar korsanları, ek kötü amaçlı yükler başlatmak ve dağıtmak ve sistem düzeyinde ayrıcalıklarla çeşitli komutlar yürütmek için Gooseegg kullanıyor.
Microsoft, saldırganların bu kontrat sonrası aracını düşürdüğünü gördü ve bir Gooseeggg yürütülebilir dosyasını başlatan ve 'Servtask'ı başlatan planlanmış bir görev ekleyerek tehlikeye atılan sisteme devam eden' Execute.bat 'veya' Doit.bat 'adlı bir Windows toplu komut dosyası olarak gördü. .Bat, 'Diske yazılmış ikinci bir toplu beter.
Ayrıca, sistem izinleriyle printSpooler hizmeti bağlamında gömülü bir kötü amaçlı DLL dosyasını (bazı durumlarda 'Wayzgoose23.dll' olarak adlandırılan) bırakmak için GooseEgg kullanırlar.
Bu DLL aslında sistem düzeyinde izinlerle diğer yükleri yürütebilen ve saldırganların backdoors dağıtmasına, kurbanların ağlarında yanal olarak hareket etmesine ve ihlal edilen sistemlerde uzaktan kod çalıştırmasına izin verebilen bir uygulama başlatıcısıdır.
Microsoft, "Microsoft, Ukraynalı, Batı Avrupa ve Kuzey Amerika hükümeti, sivil toplum, eğitim ve ulaşım sektörü kuruluşları gibi hedeflere karşı kontrat sonrası faaliyetlerin bir parçası olarak GooseEgg'i kullanarak Forest Blizzard'ı gözlemledi."
"Basit bir başlatıcı uygulaması olsa da, GooseEgg, komut satırında belirtilen diğer uygulamaları yüksek izinlerle ortaya çıkarabilir, tehdit aktörlerinin uzaktan kod yürütme, bir arka kapı yükleme ve tehlikeye atılan ağlar boyunca yanal olarak hareket etme gibi takip hedeflerini desteklemelerine izin verir. "
Önde gelen bir Rus hack grubu olan Apt28, 2000'li yılların ortalarında ilk ortaya çıktığından beri birçok yüksek profilli siber saldırıdan sorumludur.
Örneğin, bir yıl önce, ABD ve İngiltere İstihbarat Hizmetleri, APT28'in ABD ve AB'deki hedeflerden hassas bilgileri hasat etmesine izin veren Jaguar Diş kötü amaçlı yazılımını dağıtması için bir Cisco yönlendiricisi sıfır gününü kullanma konusunda uyardı.
Daha yakın zamanlarda, Şubat ayında, FBI, NSA ve uluslararası ortaklar tarafından yayınlanan ortak bir danışma, APT28'in saldırılarda tespitten kaçınmak için hacklenmiş ubiquiti edgerouters kullandığı konusunda uyardı.
Ayrıca geçmişte, 2016 ABD başkanlık seçimleri öncesinde Alman Federal Parlamentosu (Deutscher Pempettag) ve Demokratik Kongre Kampanya Komitesi (DCCC) ve Demokratik Ulusal Komite (DNC) hack'leri ile ilişkilendirildiler.
İki yıl sonra ABD, APT28 üyelerini DNC ve DCCC saldırılarına katılımları için suçlarken, Avrupa Birliği Konseyi de Ekim 2020'de Alman Federal Parlamento Hack için APT28 üyelerini onayladı.
Windows 11, Tesla ve Ubuntu Linux Pwn2own Vancouver'da hacklendi
Maksimum ciddiyet Flowmon Bug halka açık bir istismar var, şimdi yama
Windows 11 KB5036980 Güncellemesi, Başlat menüsü reklamlarıyla canlı gidiyor
Crushftp, kullanıcıları sömürülen sıfır gün “hemen” yama yapmaları konusunda uyarır
Cisco, kamu istismar kodu ile kök artış kusurunu açıklar
Kaynak: Bleeping Computer