Кибервойна / Атаки на национальные государства , Борьба с мошенничеством и киберпреступностью , Управление и управление рисками
Microsoft предупреждает, что инструмент GooseEgg от APT28 позволяет воровать учетные данные@prajeetspeaks) • 23 апреля 2024 г. Российские хакеры из разведки используют уязвимость диспетчера очереди печати Windows для взлома западных правительств. (Изображение: Shutterstock)
Хакеры российской военной разведки используют 18-месячную уязвимость в утилите диспетчера очереди печати Windows для развертывания специального инструмента, который повышает привилегии и крадет учетные данные.
Смотрите также: Защита вашей рабочей силы с помощью Datto RMM: автоматизация исправлений, усиления защиты и резервного копирования
В понедельник Microsoft сообщила, что APT28, также известный как Fancy Bear и Forest Blizzard, использует новый хакерский инструмент, получивший название GooseEgg.
«Хотя GooseEgg является простым приложением запуска, оно способно запускать другие приложения, указанные в командной строке, с повышенными разрешениями», — пишет Microsoft. Это позволяет хакерам Главного разведывательного управления Генерального штаба России «поддерживать любые последующие задачи, такие как удаленное выполнение кода, установка бэкдора и горизонтальное перемещение через взломанные сети».
Российская государственная хакерская группа (ее российское обозначение — подразделение 26165 85-го Главного центра специальных служб Управления разведки, более известная как ГРУ) стоит за многими целевыми фишинговыми кампаниями против властей Украины, США и Великобритании. Он отличается от других групп ГРУ тем, что фокусируется в первую очередь на сборе стратегической разведки, а не на разрушительных атаках.
Microsoft заявляет, что наблюдала действия после компрометации, включая развертывание GooseEgg, в первую очередь против правительственных учреждений Украины, Западной Европы и Северной Америки, а также неправительственных организаций, образовательных учреждений и организаций транспортного сектора.
Forest Blizzard использует GooseEgg по крайней мере с июня 2020 года, но нашла новый путь в Windows после обнаружения Агентством национальной безопасности уязвимости, позволяющей злоумышленникам получать системные привилегии, и исправления, выпущенного Microsoft в октябре 2022 года. Уязвимость, получившая обозначение CVE-2022-38028, позволяет злоумышленникам изменить файл ограничений JavaScript и выполнить его с разрешениями системного уровня.
GooseEgg действует скрытно в взломанных системах. Обычно он развертывается вместе с пакетными сценариями, такими как Execute.bat или doit.bat, которые настраивают постоянство. Двоичный файл GooseEgg отображается с именами, включая Justice.exe или DefragmentSrv.exe. Свое название он получил от встроенного вредоносного файла библиотеки динамической компоновки, который обычно содержит фразу «wayzgoose» — например, wayzgoose23.dll.
Важнейшим компонентом работы GooseEgg является манипулирование файлом MPDW-constraints.js, поэтому, когда PrintSpooler пытается его загрузить, операционная система вместо этого вызывает файловый каталог, контролируемый субъектом угрозы.
Forest Blizzard часто использует общедоступные эксплойты, такие как CVE-2023-23397, уязвимость повышения привилегий Microsoft Office Outlook.
2024-04-23 21:04:35
1713909668
#Российские #хакеры #используют #уязвимость #диспетчера #очереди #печати #Windows