1713908134
2024-04-23 21:04:35
Microsoft、APT28 の GooseEgg ツールが資格情報の盗難を可能にすると警告
プラジート・ナイル (@prajeetspeaks) • 2024 年 4 月 23 日
ロシアの情報ハッカーは、Windows の印刷スプーラーの脆弱性を利用して、西側政府をハッキングしています。 (画像: シャッターストック)
ロシアの軍事情報ハッカーは、Windows 印刷スプーラー ユーティリティの 18 か月前から存在する脆弱性を利用して、特権を昇格させ、資格情報を盗むカスタム ツールを導入しています。
関連項目: 情報保護者のためのサイバーセキュリティ スイス アーミー ナイフ: ISO/IEC 27001
月曜日のマイクロソフト 開示された Fancy Bear や Forest Blizzard としても知られる APT28 は、GooseEgg と呼ばれる新しいハッキング ツールを使用しているということです。
「GooseEggは単純なランチャーアプリケーションでありながら、コマンドラインで指定された他のアプリケーションを昇格された権限で起動できる」とMicrosoftは書いている。 これにより、ロシア参謀本部情報総局のハッカーが「リモートでのコード実行、バックドアの設置、侵害されたネットワークを横方向に移動するなどの後続の目的を支援」できるようになる。
ロシア国家ハッキンググループ(ロシアでの指定はGRUとして知られる情報総局第85主要特別サービスセンターのユニット26165)は、ウクライナ、米国、英国当局に対する多くのスピアフィッシングキャンペーンの背後にある。 他の GRU グループとは異なり、破壊的攻撃ではなく戦略的情報収集に主に焦点を当てています。
Microsoft は、主にウクライナ、西ヨーロッパ、北米の政府機関、非政府組織、教育機関、運輸部門組織に対する GooseEgg の展開を含む侵害後の活動を観察したと述べています。
Forest Blizzard は少なくとも 2020 年 6 月から GooseEgg を使用していましたが、攻撃者がシステム権限を取得できる欠陥が国家安全保障局によって発見され、Microsoft が 2022 年 10 月にパッチを適用したことで、Windows への新たな侵入経路を発見しました。 追跡対象 CVE-2022-38028、この欠陥により、攻撃者は JavaScript 制約ファイル システムレベルの権限を使用して実行します。
GooseEgg は侵害されたシステム内で密かに動作します。 通常、永続性を設定するexecute.batやdoit.batなどのバッチスクリプトと一緒にデプロイされます。 GooseEgg バイナリは、justice.exe または DefragmentSrv.exe などの名前で表示されます。 この名前は、通常「wayzgoose」という語句を含む、埋め込まれた悪意のあるダイナミック リンク ライブラリ ファイル (たとえば、wayzgoose23.dll) から取得されます。
GooseEgg の操作の重要なコンポーネントは MPDW-constraints.js ファイルの操作であるため、PrintSpooler がファイルをロードしようとすると、オペレーティング システムは代わりに脅威アクターが制御するファイル ディレクトリを呼び出します。
Forest Blizzard は、次のような公開されているエクスプロイトをよく使用します。 CVE-2023-23397、Microsoft Office Outlook の権限昇格の脆弱性。
#ロシアのハッカーが #Windows #印刷スプーラーの脆弱性を悪用
