Microsoft, Rus APT28 tehdit grubunun, GooseEgg adlı önceden bilinmeyen bir bilgisayar korsanlığı aracını kullanarak ayrıcalıkları artırmak ve kimlik bilgilerini ve verileri çalmak için Windows Yazdırma Biriktiricisi güvenlik açığından yararlandığı konusunda uyarıyor.
APT28, “en az Haziran 2020’den bu yana ve muhtemelen Nisan 2019 gibi erken bir tarihte” CVE-2022-38028 güvenlik açığından yararlanmak için bu aracı kullanıyor.
Redmond, Salı günü Microsoft Ekim 2022 Yaması sırasında ABD Ulusal Güvenlik Ajansı tarafından bildirilen güvenlik açığını düzeltti, ancak bunu tavsiye belgesinde henüz aktif olarak kullanıldığı şeklinde etiketlemedi.
Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü’nün (GRU) Askeri Birimi 26165’in bir parçası olan askeri bilgisayar korsanları, ek kötü amaçlı yükleri başlatmak ve dağıtmak ve SİSTEM düzeyinde ayrıcalıklarla çeşitli komutları çalıştırmak için GooseEgg’i kullanıyor.
Microsoft, saldırganların bu uzlaşma sonrası aracı ‘execute.bat’ veya ‘doit.bat’ adlı bir Windows toplu komut dosyası olarak bıraktıklarını gördü; bu araç, bir GooseEgg yürütülebilir dosyasını başlatıyor ve ‘servtask’ı başlatan zamanlanmış bir görev ekleyerek güvenliği ihlal edilen sistemde kalıcılık kazanıyor. .bat, diske yazılan ikinci bir toplu komut dosyasıdır.
Ayrıca GooseEgg’i, SİSTEM izinlerine sahip PrintSpooler hizmeti bağlamında gömülü kötü amaçlı bir DLL dosyasını (bazı durumlarda ‘wayzgoose23.dll’ olarak adlandırılır) bırakmak için kullanırlar.
Bu DLL aslında SİSTEM düzeyindeki izinlerle diğer verileri çalıştırabilen ve saldırganların arka kapıları konuşlandırmasına, kurbanların ağlarında yatay olarak hareket etmesine ve ihlal edilen sistemlerde uzaktan kod çalıştırmasına olanak tanıyan bir uygulama başlatıcıdır.
Microsoft, “Microsoft, Forest Blizzard’ın, Ukrayna, Batı Avrupa ve Kuzey Amerika hükümeti, sivil toplum, eğitim ve ulaşım sektörü kuruluşları dahil olmak üzere hedeflere yönelik uzlaşma sonrası faaliyetlerin bir parçası olarak GooseEgg’i kullandığını gözlemledi” diye açıklıyor.
“Basit bir başlatıcı uygulaması olmasına rağmen GooseEgg, komut satırında belirtilen diğer uygulamaları yükseltilmiş izinlerle oluşturma yeteneğine sahip olup, tehdit aktörlerinin uzaktan kod yürütme, arka kapı kurma ve güvenliği ihlal edilmiş ağlar üzerinden yanal olarak hareket etme gibi takip eden hedefleri desteklemesine olanak tanır. “
Yüksek profilli siber saldırıların geçmişi
Tanınmış bir Rus bilgisayar korsanlığı grubu olan APT28, ilk kez 2000’li yılların ortasında ortaya çıktığından beri birçok yüksek profilli siber saldırının sorumlusu oldu.
Örneğin, bir yıl önce ABD ve İngiltere istihbarat servisleri, APT28’in Jaguar Tooth kötü amaçlı yazılımını dağıtmak için sıfırıncı gün Cisco yönlendiricisini kullandığı ve bunun ABD ve AB’deki hedeflerden hassas bilgiler toplamasına olanak sağladığı konusunda uyarıda bulunmuştu.
Daha yakın bir zamanda, Şubat ayında FBI, NSA ve uluslararası ortaklar tarafından yayınlanan ortak bir bildiride, APT28’in saldırılarda tespit edilmekten kaçınmak için hacklenmiş Ubiquiti EdgeRouter’ları kullandığı konusunda uyarıda bulunuldu.
Bunlar aynı zamanda geçmişte Alman Federal Parlamentosu’nun (Deutscher Bundestag) ihlali ve 2016 ABD Başkanlık Seçimi öncesinde Demokratik Kongre Kampanya Komitesi’nin (DCCC) ve Demokratik Ulusal Komite’nin (DNC) hacklenmesiyle de bağlantılıydı.
İki yıl sonra ABD, APT28 üyelerini DNC ve DCCC saldırılarına karıştıkları için suçlarken, Avrupa Birliği Konseyi de Ekim 2020’de APT28 üyelerine Alman Federal Parlamentosu hacklemesi nedeniyle yaptırım uyguladı.