Microsoft、現在進行中のロシアのハッキング攻撃についてWindowsユーザーに警告

1714140835
2024-04-26 13:41:00

Microsoft、ロシアのハッカーがWindowsの印刷スプーラーの脆弱性を悪用していると発表

NurPhoto（ゲッティイメージズより）

Microsoft Threat Intelligenceの研究者らは、ロシア国家支援のハッカーが資格情報を盗み、さらにはバックドアをインストールするために使用されるカスタムツールを使用してWindowsユーザーをターゲットにしていると警告を発した。

新たに報告された Windows 攻撃の背後には APT28 ファンシー ベア ハッカーがいる

このハッカーは、一般的には APT28 または Fancy Bear として特定されていますが、Microsoft によって Forest Blizzard として追跡されており、ロシアの GRU 軍事諜報機関の一部である軍事部隊 26165 に所属していることが知られています。

Microsoftは、Forest Blizzard/APT 28が米国、西ヨーロッパ、ウクライナの政府、教育、運輸部門の組織に対してGooseEggと呼ばれるエクスプロイト後ツールを使用しているのを確認したと述べた。 「フォレストブリザードは主に戦略的諜報目標に焦点を当てています。」 マイクロソフトは言った。 Microsoft のインテリジェンス アナリストらによると、APT28 は少なくとも 2020 年 6 月から GooseEgg を使用しており、おそらく 2019 年 4 月には GooseEgg を使用しているようです。

FORBES の詳細Subico が Windows ユーザー向けに YubiKey Manager セキュリティ警告を発行Davey Winder 著

パッチが適用されていない Windows の脆弱性が悪用の黄金の卵を産む

本質的には、比較的単純なランチャー アプリケーションに見える GooseEgg は、実際には、Windows 印刷スプーラー サービスにパッチが適用されてから長い時間が経過している脆弱性を悪用する攻撃者の手に渡った非常に危険なツールです。 問題の脆弱性 CVE-2022-38028 は、国家安全保障局によって最初に報告され、2022 年 10 月のパッチ火曜日ロールアウトの一部として修正されました。 Microsoftによると、GooseEggは「JavaScript制約ファイルを変更し、SYSTEMレベルの権限で実行」することで、パッチが適用されていない脆弱性を悪用するという。 GooseEgg がロシアのハッカーをどの程度支援できるかは、Microsoft 脅威インテリジェンスのレポートによって明らかになりました。「GooseEgg は、昇格されたアクセス許可を使用してコマンド ラインで指定された他のアプリケーションを生成することができ、攻撃者がリモート攻撃などの後続の目的をサポートできるようにします。」コードの実行、バックドアのインストール、侵害されたネットワークを横方向に移動することです。」

FORBES の詳細Microsoft が 90 件の新たな脆弱性を確認した Windows セキュリティの驚き執筆者 Davey Winder

GooseEgg 攻撃を軽減する方法

国家支援ハッカーによるこの活発なサイバースパイ活動は、脆弱性をできるだけ早くパッチすることの重要性を改めて浮き彫りにしています。 Windows プリント スプーラーの脆弱性 CVE-2022-38028 に加えて、GooseEgg は、2021 年に初めて公開された PrintNightmare のエクスプロイトと一緒に使用することもできます。APT28 ハッカーの標的となっていることが知られている追加の脆弱性には、CVE-2023-23397、CVE などがあります。 -2021-34527 および CVE-2021-1675。

Microsoft は、組織およびユーザーに対し、この攻撃を軽減するために CVE-2022-38028 セキュリティ更新プログラムを適用するよう促しています。 Microsoft Defender Antivirus が特定の Forest Blizzard 機能を HackTool:Win64/GooseEgg として検出することが記載されています。

#Microsoft現在進行中のロシアのハッキング攻撃についてWindowsユーザーに警告