俄罗斯 APT28 黑客利用 Windows 打印后台处理程序漏洞部署“GooseEgg”恶意软件

与俄罗斯有联系的 APT28 黑客组织将 Microsoft Windows Print Spooler 组件中的安全漏洞武器化，以传播一种名为 GooseEgg 的先前未知的自定义恶意软件。

据称，该工具最早能追溯到 2019 年 4 月，至少从 2020 年 6 月开始使用，它利用了一个现已修补的缺陷，漏洞允许权限升级（CVE-2022-38028，CVSS 评分：7.8）。

Microsoft  在 2022 年 10 月发布的更新中解决了这个问题，美国国家安全局 (NSA) 当时报告了该缺陷。

根据微软威胁情报团队的最新发现，APT28组织将该漏洞武器化，用于针对乌克兰、西欧和北美政府、非政府、教育和交通的攻击部门组织。

至少从 2020 年 6 月开始，可能最早在 2019 年 4 月，Forest Blizzard 就使用该工具（微软称之为 GooseEgg）通过修改 JavaScript 约束文件并使用系统级权限执行该文件来利用 Windows Print Spooler 服务中的 CVE-2022-38028  漏洞。

Microsoft 观察到 Forest Blizzard 使用 GooseEgg 作为针对乌克兰、西欧和北美政府、非政府组织、教育和交通部门组织等目标的攻击活动的一部分。

虽然是一个简单的启动器应用程序，但 GooseEgg 能够生成在命令行中指定的具有提升权限的其他应用程序，允许攻击者支持任何后续目标，例如远程代码执行、安装后门以及通过受感染的网络横向移动。

近几个月来，APT28 黑客还滥用了 Microsoft Outlook 中的权限提升漏洞（CVE-2023-23397，CVSS 得分：9.8）和 WinRAR 中的代码执行漏洞（CVE-2023-38831，CVSS 得分：7.8），这表明他们能够迅速将流行安全漏洞应用到他们的间谍技术中。

微软表示：“Forest Blizzard（森林暴雪）部署 GooseEgg 的目的是获得对目标系统的更高访问权限并窃取凭据和信息。” “GooseEgg 通常使用批处理脚本进行部署。”

GooseEgg 二进制文件支持触发漏洞利用的命令并启动动态链接库 (DLL) 或具有提升权限的可执行文件。它还验证是否已使用 whoami 命令成功激活漏洞。

微软敦促客户尽快应用 2022 年发布的 Print Spooler 漏洞的安全更新以及 2021 年发布的 PrintNightmare 漏洞补丁。

“为了组织的安全，我们敦促尚未实施这些修复的客户尽快实施这些修复。此外，由于域控制器操作不需要打印后台处理程序服务，因此微软建议在域控制器上禁用该服务。”该公司指出。

根据 Malpedia 知识库，APT28 有一系列别名，包括：APT-C-20、ATK5、Blue Athena、Fancy Bear、FrozenLake、Fighting Ursa、Forest Blizzard、G0007、Grey-Cloud、Grizzly Steppe、Group 74、Group-4127、Iron Twilight、 Pawn Storm、SIG40、SnakeMackerel、Strontium、Sednit、Sofacy、Swallowtail、T-APT-12、TA422、TG-4127、Tsar Team、TsarTeam 和 UAC-0028。

APT28是一个网络间谍组织，据信与俄罗斯政府有联系。该组织可能自 2007 年开始运作，以政府、军队和安全组织为目标，它被描述为一种高级持续威胁。

据评估，Forest Blizzard（森林暴雪）隶属于俄罗斯联邦军事情报机构、俄罗斯联邦武装部队总参谋部主要情报局（GRU）第 26165 号部队。

该黑客组织活跃了近 15 年，其活动主要是收集情报以支持俄罗斯政府的外交政策。

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/VTM6_VjyzNkRGk7gBXqXPg