Microsoft, Rus APT28 tehdit grubunun, GooseEgg adlı önceden bilinmeyen bir bilgisayar korsanlığı aracını kullanarak ayrıcalıkları artırmak ve kimlik bilgilerini ve verileri çalmak için Windows Yazdırma Biriktiricisi güvenlik açığından yararlandığı konusunda uyarıyor.
APT28, bu aracı ABD Ulusal Güvenlik Ajansı tarafından bildirilen ve Redmond’un Salı günü Microsoft Ekim 2022 Yaması sırasında düzelttiği CVE-2022-38028 güvenlik açığını hedeflemek için tasarladı (Redmond bunu henüz tavsiye belgesinde aktif olarak kullanıldığı şeklinde etiketlemedi).
Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü’nün (GRU) Askeri Birimi 26165’in bir parçası olan askeri bilgisayar korsanları, bu aracı ek kötü amaçlı araçlar başlatmak ve SİSTEM düzeyinde ayrıcalıklarla çeşitli komutları çalıştırmak için kullanıyor.
Saldırganlar bu aracı ‘execute.bat’ veya ‘doit.bat’ adlı bir Windows toplu komut dosyası olarak dağıtır; GooseEgg yürütülebilir dosyasını başlatır ve ikinci bir grup olan ‘servtask.bat’ı başlatan zamanlanmış bir görev ekleyerek güvenliği ihlal edilen sistemde kalıcılık kazanır. komut dosyası diske yazılır.
Ayrıca bu istismarı, SİSTEM izinlerine sahip PrintSpooler hizmetinin bağlamına gömülü kötü amaçlı bir DLL dosyasını (bazı durumlarda ‘wayzgoose23.dll’ olarak adlandırılır) bırakmak için de kullanırlar.
Bu DLL aslında SİSTEM düzeyindeki izinlerle diğer verileri çalıştırabilen ve saldırganların arka kapıları konuşlandırmasına, kurbanların ağlarında yatay olarak hareket etmesine ve ihlal edilen sistemlerde uzaktan kod çalıştırmasına olanak tanıyan bir uygulama başlatıcıdır.
Microsoft, “Microsoft, Forest Blizzard’ın, Ukrayna, Batı Avrupa ve Kuzey Amerika hükümeti, sivil toplum, eğitim ve ulaşım sektörü kuruluşları dahil olmak üzere hedeflere yönelik uzlaşma sonrası faaliyetlerin bir parçası olarak GooseEgg’i kullandığını gözlemledi” diye açıklıyor.
“Basit bir başlatıcı uygulaması olmasına rağmen GooseEgg, komut satırında belirtilen diğer uygulamaları yükseltilmiş izinlerle oluşturma yeteneğine sahip olup, tehdit aktörlerinin uzaktan kod yürütme, arka kapı kurma ve güvenliği ihlal edilmiş ağlar üzerinden yanal olarak hareket etme gibi takip eden hedefleri desteklemesine olanak tanır. “
Yüksek profilli siber saldırıların geçmişi
APT28, ilk kez 2000’li yılların ortasında ortaya çıktığından beri birçok yüksek profilli siber saldırıdan sorumlu olan önde gelen bir Rus bilgisayar korsanlığı grubudur.
Geçtiğimiz yıl, ABD ve İngiltere istihbarat servisleri, APT28’in Jaguar Tooth kötü amaçlı yazılımını dağıtmak için sıfırıncı gün Cisco yönlendiricisinden yararlandığı ve bunun ABD ve AB’deki hedeflerden hassas bilgiler toplamasına olanak sağladığı konusunda uyarıda bulunmuştu.
Daha yakın bir zamanda, Şubat ayında FBI, NSA ve uluslararası ortaklar tarafından yayınlanan ortak bir bildiride, APT28’in saldırılarda tespit edilmekten kaçınmak için hacklenmiş Ubiquiti EdgeRouter’ları kullandığı konusunda uyarıda bulunuldu.
Bunlar aynı zamanda geçmişte Alman Federal Parlamentosu’nun (Deutscher Bundestag) ihlali ve 2016 ABD Başkanlık Seçimi öncesinde Demokratik Kongre Kampanya Komitesi’nin (DCCC) ve Demokratik Ulusal Komite’nin (DNC) hacklenmesiyle de bağlantılıydı.
İki yıl sonra ABD, APT28 üyelerini DNC ve DCCC saldırılarına karıştıkları için suçlarken, Avrupa Birliği Konseyi de Ekim 2020’de APT28 üyelerine Alman Federal Parlamentosu hacklemesi nedeniyle yaptırım uyguladı.