Dalış Özeti:
- Rusya bağlantılı bir tehdit grubu olan Forest Blizzard, Windows Yazdırma Biriktiricisi’ndeki ayrıcalık yükseltme güvenlik açığından yararlanmak için GooseEgg adlı özel yapım bir araç kullanıyor. Microsoft Tehdit İstihbaratı Pazartesi dedi. Bu istismar, kötü niyetli aktörlerin ayrıcalıkları artırmasına ve kimlik bilgilerini çalmasına olanak tanıyor.
- Forest Blizzard, aracı en az Haziran 2020’den beri Ukrayna, Batı Avrupa ve Kuzey Amerika’daki hükümet, eğitim ve ulaşım sektörlerindeki hedeflere yönelik güvenlik açığından yararlanmak için kullanıyor. Microsoft, kötü amaçlı etkinliğin Nisan 2019 gibi erken bir tarihte başlamış olabileceğini söyledi.
- Siber Güvenlik ve Altyapı Güvenliği Ajansı Salı günü şu şekilde listelenen güvenlik açığı eklendi: CVE-2022-38028bilinen istismar edilen güvenlik açıkları kataloğuna.
Dalış Bilgisi:
Microsoft araştırmacılarına göre kötü amaçlı etkinlik, “bir JavaScript kısıtlama dosyasının değiştirilmesini ve SİSTEM düzeyindeki izinlerle çalıştırılmasını” içeriyor.
Microsoft, GooseEgg aracını kullanan bilgisayar korsanlarının, güvenliği ihlal edilmiş ağlar üzerinden uzaktan kod yürütmeyi, arka kapı kurulumlarını ve yanal hareketleri de etkinleştirebileceğini söyledi.
ABD ve İngiltere yetkilileri, Forest Blizzard’ı Rusya Genelkurmay Ana İstihbarat Müdürlüğü’ne bağladı ve bu da diğer istismarlara dayanıyor: CVE-2023-23397Microsoft Windows’ta kritik bir ayrıcalık artışı güvenlik açığı.
Rusya bağlantılı aktörler daha önce PrintNightmare güvenlik açığından yararlanmıştı. CVE-2021-34527 Ve CVE-2021-1675. Ancak Microsoft araştırmacıları, GooseEgg’i kullanan kötü niyetli etkinliğin yeni ortaya çıktığını söyledi.
PrintNightmare daha önce büyük istismar faaliyetlerine yol açmıştı. 2022’de CISA ve FBI, devlet destekli tehdit gruplarının bir sivil toplum kuruluşuna erişim hakkı kazandı PrintNightmare güvenlik açığından ve varsayılan çok faktörlü kimlik doğrulama protokollerinden yararlanarak.
Contrast Security’nin siber stratejiden sorumlu Kıdemli Başkan Yardımcısı Tom Kellerman, yaptığı açıklamada, “Yazıcılar, şirketinize giden saldırı yolu haline gelebilir” dedi. “Rusya, birçok kuruluşun yazıcıları için uygun güvenlik açığı yönetimine sahip olmaması nedeniyle eski güvenlik açıklarından yararlanmaya devam ediyor.”
ABD yetkilileri bu yılın başlarında Forest Blizzard’ı hedef aldı Moobot’un ortadan kaldırılmasıHedef odaklı kimlik avı ve kimlik bilgisi toplama işlemlerini başlatmak için savunmasız uç cihazlardan yararlanan bir operasyon.