Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Microsoft, APT28’in GooseEgg Aracının Kimlik Bilgisi Hırsızlığına Olanak Sağladığı Uyarısında Bulundu
Prajeet Nair (@prajeetspeaks) •
23 Nisan 2024
Rus askeri istihbarat korsanları, ayrıcalıkları yükselten ve kimlik bilgilerini çalan özel bir araç dağıtmak için Windows yazdırma biriktirici yardımcı programında 18 aylık bir güvenlik açığını kullanıyor.
Ayrıca bakınız: Paneli | Siber Saldırılar Artıyor ve Siber Sigorta Oranları Hızla Yükseliyor
Microsoft Pazartesi günü, Fancy Bear ve Forest Blizzard olarak da bilinen APT28’in GooseEgg adlı yeni bir hackleme aracı kullandığını açıkladı.
Microsoft, “Basit bir başlatıcı uygulaması olmasına rağmen GooseEgg, komut satırında belirtilen diğer uygulamaları yükseltilmiş izinlerle oluşturma yeteneğine sahip” diye yazdı. Bu, Rus Genelkurmay Ana İstihbarat Müdürlüğü bilgisayar korsanlarının “uzaktan kod yürütme, arka kapı kurma ve güvenliği ihlal edilmiş ağlar üzerinden yanal olarak hareket etme gibi takip eden hedefleri desteklemesine” olanak tanıyor.
Rus devletine ait bilgisayar korsanlığı grubu (Rusça adı, istihbarat müdürlüğü içindeki 85. Ana Özel Hizmetler Merkezi’nin 26165 numaralı birimidir, daha çok GRU olarak bilinir), Ukrayna, ABD ve İngiltere yetkililerine karşı birçok hedef odaklı kimlik avı kampanyasının arkasındadır. Yıkıcı saldırılardan ziyade öncelikli olarak stratejik istihbarat toplamaya odaklanmasıyla diğer GRU gruplarından farklıdır.
Microsoft, GooseEgg’in öncelikle Ukrayna, Batı Avrupa ve Kuzey Amerika hükümet kurumlarının yanı sıra sivil toplum kuruluşları, eğitim kurumları ve ulaştırma sektörü kuruluşlarına karşı konuşlandırılması da dahil olmak üzere uzlaşma sonrası faaliyetleri gözlemlediğini söyledi.
Forest Blizzard, GooseEgg’i en az Haziran 2020’den beri kullanıyor ancak Ulusal Güvenlik Ajansı’nın saldırganların sistem ayrıcalıkları kazanmasına olanak tanıyan bir kusuru keşfetmesi ve bunun Microsoft tarafından Ekim 2022’de uygulanmasıyla Windows’a yeni bir yol buldu. CVE-2022-38028 olarak izlenen kusur, saldırganların bir JavaScript kısıtlama dosyasını değiştirmesine ve bunu sistem düzeyinde izinlerle yürütmesine olanak tanıyor.
GooseEgg, güvenliği ihlal edilmiş sistemlerde gizlice çalışır. Genellikle toplu komut dosyalarının yanında dağıtılır, örneğin execute.bat
veya doit.bat
kalıcılığı sağlayan. GooseEgg ikili dosyası aşağıdaki adlarla görünür: justice.exe
veya DefragmentSrv.exe
. Adını, genellikle “wayzgoose” ifadesini içeren gömülü bir kötü amaçlı dinamik bağlantı kitaplığı dosyasından alır; örneğin wayzgoose23.dll
.
GooseEgg’in operasyonunun önemli bir bileşeni, MPDW-constraints.js
Böylece PrintSpooler dosyayı yüklemeye çalıştığında işletim sistemi bunun yerine tehdit aktörü tarafından kontrol edilen bir dosya dizinini çağırır.
Forest Blizzard, Microsoft Office Outlook ayrıcalık yükseltme güvenlik açığı olan CVE-2023-23397 gibi genel kullanıma açık açıklardan yararlanıyor.