Forest Blizzard (aka Fancy Bear, namı diğer APT28) yaklaşık dört yıldır, belki de daha uzun süredir, Windows Yazdırma Biriktiricisi hizmetindeki (CVE-2022-38028) belirli bir güvenlik açığından yararlanan özel bir araç kullanıyor.
GooseEgg olarak adlandırılan araç, SİSTEM düzeyinde izinlere sahip diğer uygulamaları oluşturabilen ve böylece bilgisayar korsanlarının uzaktan kod yürütmesine, arka kapıları yüklemesine, kimlik bilgilerini çalmasına ve daha pek çok şeye yardımcı olan bir başlatıcı uygulamasıdır.
Microsoft tehdit analistleri Pazartesi günü şunları paylaştı: “Microsoft, Forest Blizzard’ın Ukrayna, Batı Avrupa ve Kuzey Amerika hükümeti, sivil toplum, eğitim ve ulaşım sektörü kuruluşları dahil olmak üzere hedeflere yönelik uzlaşma sonrası faaliyetlerin bir parçası olarak GooseEgg’i kullandığını gözlemledi.”
Son zamanlarda grubun, Polonya’daki kamu ve özel kuruluşlardaki çalışanların e-posta hesaplarını tehlikeye atmak için bilinen bir Microsoft Outlook güvenlik açığından (CVE-2023-23397) yararlandığı tespit edildi.
ABD ve İngiltere hükümetleri, Forest Blizzard’ın Rusya Federasyonu Silahlı Kuvvetleri (GRU) Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü’nün 26165 Birimi ile bağlantılı olduğuna inanıyor.
GooseEgg, CVE-2022-38028’den nasıl yararlanıyor?
Microsoft analistleri, bilgisayar korsanlarının GooseEgg’i “en az Haziran 2020’den beri ve muhtemelen Nisan 2019 gibi erken bir dönemden beri” kullandığını söylüyor. Bu, Microsoft’un yararlandığı güvenlik açığı CVE-2022-38028’in Ekim 2022’de sıfır gün olduğu anlamına geliyor.
ABD Ulusal Güvenlik Ajansı tarafından bildirilmiş olmasına rağmen, bu güvenlik açığı Microsoft tarafından istismar edilmiş olarak tanımlanmamıştır ve halen de tanımlanmamaktadır. (Elbette GooseEgg’in keşfinin çok yeni olması ve Microsoft’un o zamana kadar bu kusurun saldırganlar tarafından kullanıldığını bilmemesi mümkündür.)
Her durumda Microsoft, genellikle bir toplu komut dosyasıyla dağıtılan GooseEgg aracının GooseEgg yürütülebilir dosyasını nasıl çağırdığını ve zamanlanmış bir görev olarak kalıcılığa nasıl ulaştığını açıklıyor.
Yürütülebilir dosya, istismarı tetiklemek, kötü amaçlı bir DLL veya yükseltilmiş izinlere sahip yürütülebilir dosyayı başlatmak ve istismarı test etmek için komutları kullanır.
Kötü amaçlı yazılım bileşenleri, sıradan bir adla (örn. Microsoft, Comms, Intel, vb.) özel hazırlanmış bir alt dizine yüklenir. İkili dosya daha sonra sürücü depolarını başka bir sistem dizinine kopyalar.
“Daha sonra, kayıt defteri anahtarları oluşturuluyor, özel bir protokol işleyicisi etkili bir şekilde oluşturuluyor ve bu ‘haydut’ protokol için COM sunucusu olarak hizmet verecek yeni bir CLSID kaydediliyor. Analistler, bu istismarın, nesne yöneticisindeki yeni oluşturulan dizine işaret eden C: sürücüsü sembolik bağlantısının yerini aldığını belirtti.
“Yazdırma Biriktiricisi yüklenmeye çalıştığında C:\Windows\System32\DriverStore\ FileRepository\pnms009.inf_amd64_a7412a554c9bc1fd\MPDW-Constraints.jsbunun yerine kopyalanan sürücü paketlerini içeren, aktör tarafından kontrol edilen dizine yönlendirilir.”
JavaScript dosyası bir yama uygular. ConvertDevModeToPrintTicket çağrı sırasında ‘haydut’ arama protokolü işleyicisinin CLSID’sini çağıran işlev RpcEndDocPrinter. Bu, yardımcı DLL ile sonuçlanır wayzgoose.dll SİSTEM izinleriyle PrintSpooler hizmeti bağlamında başlatılıyor.”
Microsoft, CVE-2022-38028’i düzelten güvenlik güncelleştirmelerinin bir buçuk yıldır mevcut olduğunu ve kuruluşların bunları yüklemesi gerektiğini tavsiye ediyor. Şirket, gerekli değilse etki alanı denetleyicileri için Yazdırma Biriktiricisi hizmetini devre dışı bırakmanın da iyi bir fikir olduğunu söylüyor.
Windows Yazdırma Biriktiricisi hizmetindeki güvenlik açıklarından genellikle saldırganlar yararlanıyor ve Microsoft’un bu hizmeti Windows Korumalı Yazdırma Modu (WPP) ile değiştirmeye çalışmasının ana nedeni de bu.