Rus Bilgisayar Korsanları Windows Yazdırma Biriktiricisi Vuln’unu İstismar Ediyor


Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi

Microsoft, APT28’in GooseEgg Aracının Kimlik Bilgisi Hırsızlığına Olanak Sağladığı Uyarısında Bulundu

Prajeet Nair (@prajeetspeaks) •
23 Nisan 2024

Rus Bilgisayar Korsanları Windows Yazdırma Biriktiricisi Vuln'unu İstismar Ediyor
Rus istihbarat korsanları, Batılı hükümetleri hacklemek için Windows yazdırma biriktiricisi güvenlik açığını kullanıyor. (Resim: Shutterstock)

Rus askeri istihbarat korsanları, ayrıcalıkları yükselten ve kimlik bilgilerini çalan özel bir araç dağıtmak için Windows yazdırma biriktirici yardımcı programında 18 aylık bir güvenlik açığını kullanıyor.

Ayrıca bakınız: Paneli | Siber Saldırılar Artıyor ve Siber Sigorta Oranları Hızla Yükseliyor

Microsoft Pazartesi günü, Fancy Bear ve Forest Blizzard olarak da bilinen APT28’in GooseEgg adlı yeni bir hackleme aracı kullandığını açıkladı.

Microsoft, “Basit bir başlatıcı uygulaması olmasına rağmen GooseEgg, komut satırında belirtilen diğer uygulamaları yükseltilmiş izinlerle oluşturma yeteneğine sahip” diye yazdı. Bu, Rus Genelkurmay Ana İstihbarat Müdürlüğü bilgisayar korsanlarının “uzaktan kod yürütme, arka kapı kurma ve güvenliği ihlal edilmiş ağlar üzerinden yanal olarak hareket etme gibi takip eden hedefleri desteklemesine” olanak tanıyor.

Rus devletine ait bilgisayar korsanlığı grubu (Rusça adı, istihbarat müdürlüğü içindeki 85. Ana Özel Hizmetler Merkezi’nin 26165 numaralı birimidir, daha çok GRU olarak bilinir), Ukrayna, ABD ve İngiltere yetkililerine karşı birçok hedef odaklı kimlik avı kampanyasının arkasındadır. Yıkıcı saldırılardan ziyade öncelikli olarak stratejik istihbarat toplamaya odaklanmasıyla diğer GRU gruplarından farklıdır.

Microsoft, GooseEgg’in öncelikle Ukrayna, Batı Avrupa ve Kuzey Amerika hükümet kurumlarının yanı sıra sivil toplum kuruluşları, eğitim kurumları ve ulaştırma sektörü kuruluşlarına karşı konuşlandırılması da dahil olmak üzere uzlaşma sonrası faaliyetleri gözlemlediğini söyledi.

Forest Blizzard, GooseEgg’i en az Haziran 2020’den beri kullanıyor ancak Ulusal Güvenlik Ajansı’nın saldırganların sistem ayrıcalıkları kazanmasına olanak tanıyan bir kusuru keşfetmesi ve bunun Microsoft tarafından Ekim 2022’de uygulanmasıyla Windows’a yeni bir yol buldu. CVE-2022-38028 olarak izlenen kusur, saldırganların bir JavaScript kısıtlama dosyasını değiştirmesine ve bunu sistem düzeyinde izinlerle yürütmesine olanak tanıyor.

GooseEgg, güvenliği ihlal edilmiş sistemlerde gizlice çalışır. Genellikle toplu komut dosyalarının yanında dağıtılır, örneğin execute.bat veya doit.batkalıcılığı sağlayan. GooseEgg ikili dosyası aşağıdaki adlarla görünür: justice.exe veya DefragmentSrv.exe. Adını, genellikle “wayzgoose” ifadesini içeren gömülü bir kötü amaçlı dinamik bağlantı kitaplığı dosyasından alır; örneğin wayzgoose23.dll.

GooseEgg’in operasyonunun önemli bir bileşeni, MPDW-constraints.js Böylece PrintSpooler dosyayı yüklemeye çalıştığında işletim sistemi bunun yerine tehdit aktörü tarafından kontrol edilen bir dosya dizinini çağırır.

Forest Blizzard, Microsoft Office Outlook ayrıcalık yükseltme güvenlik açığı olan CVE-2023-23397 gibi genel kullanıma açık açıklardan yararlanıyor.





Source link