Rusya’nın APT28’i ‘GooseEgg’ Kötü Amaçlı Yazılımını Dağıtmak İçin Windows Yazdırma Biriktiricisi Kusurundan Yararlandı


23 Nis 2024Haber odasıUlusal Güvenlik Ajansı / Tehdit İstihbaratı

Windows Yazdırma Biriktiricisi Hatası

Rusya bağlantılı ulus devlet tehdit aktörü şu şekilde takip edildi: APT28 Microsoft Windows Yazdırma Biriktiricisi bileşenindeki bir güvenlik kusurunu, GooseEgg adı verilen daha önce bilinmeyen özel bir kötü amaçlı yazılımı yaymak için silah haline getirdi.

En az Haziran 2020’den bu yana ve muhtemelen Nisan 2019 gibi erken bir tarihte kullanıldığı söylenen uzlaşma sonrası araç, ayrıcalık yükseltmeye izin veren, artık yamalanmış bir kusurdan yararlandı (CVE-2022-38028, CVSS puanı: 7,8).

Bu sorun Microsoft tarafından Ekim 2022’de yayınlanan güncellemelerin bir parçası olarak ele alındı ​​ve o sırada ABD Ulusal Güvenlik Ajansı’nın (NSA) kusuru bildirdiği belirtildi.

Teknoloji devinin tehdit istihbarat ekibinden elde edilen yeni bulgulara göre, Fancy Bear ve Forest Blizzard (eski adıyla Strontium) olarak da adlandırılan APT28, Ukrayna, Batı Avrupa ve Kuzey Amerika hükümetlerini, sivil toplum kuruluşlarını, eğitim ve ulaşımı hedef alan saldırılarda hatayı silah haline getirdi. sektör kuruluşları.

Siber güvenlik

“Forest Blizzard bu aracı kullandı […] Şirket, “JavaScript kısıtlama dosyasını değiştirerek ve bunu SİSTEM düzeyindeki izinlerle çalıştırarak Windows Yazdırma Biriktiricisi hizmetindeki CVE-2022-38028 güvenlik açığından yararlanmaya yönelik bir saldırı” dedi.

“Basit bir başlatıcı uygulaması olmasına rağmen GooseEgg, komut satırında belirtilen diğer uygulamaları yükseltilmiş izinlerle oluşturma yeteneğine sahip olup, tehdit aktörlerinin uzaktan kod yürütme, arka kapı kurma ve güvenliği ihlal edilmiş ağlar üzerinden yanal olarak hareket etme gibi takip eden hedefleri desteklemesine olanak tanır. “

Forest Blizzard’ın, Rusya Federasyonu askeri istihbarat teşkilatı Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü’nün (GRU) 26165 Birimine bağlı olduğu değerlendiriliyor.

Yaklaşık 15 yıldır faaliyet gösteren Kremlin destekli hack grubunun faaliyetleri ağırlıklı olarak Rus hükümetinin dış politika girişimlerini destekleyen istihbarat toplamaya yönelik.

Son aylarda APT28 bilgisayar korsanları Microsoft Outlook’taki bir ayrıcalık yükseltme kusurunu (CVE-2023-23397, CVSS puanı: 9,8) ve WinRAR’daki bir kod yürütme hatasını (CVE-2023-38831, CVSS puanı: 7,8) kötüye kullandılar. kamu istismarlarını hızlı bir şekilde ticari zanaatlarına uyarlama yeteneği.

Microsoft, “Forest Blizzard’ın GooseEgg’i dağıtmadaki amacı, hedef sistemlere yüksek erişim sağlamak ve kimlik bilgilerini ve bilgileri çalmaktır” dedi. “GooseEgg genellikle bir toplu komut dosyasıyla dağıtılır.”

GooseEgg ikili dosyası, istismarı tetiklemek ve sağlanan bir dinamik bağlantı kitaplığını (DLL) veya yükseltilmiş izinlere sahip bir yürütülebilir dosyayı başlatmak için komutları destekler. Ayrıca, istismarın whoami komutu kullanılarak başarıyla etkinleştirilip etkinleştirilmediğini de doğrular.

Siber güvenlik

Açıklama, IBM X-Force’un Gamaredon aktörü (diğer adıyla Aqua Blizzard, Hive0051 ve UAC-0010) tarafından düzenlenen ve GammaLoad kötü amaçlı yazılımının yeni sürümlerini sunan yeni kimlik avı saldırılarını ortaya çıkarmasıyla geldi.

  • Enfeksiyon zincirini başlatan VBS tabanlı bir arka kapı olan GammaLoad.VBS
  • Bir dizi Base64 kodlu VBS verisini indirmek ve yürütmek için kullanılan GammaStager
  • .EXE veri yüklerini çalıştırmak için kullanılan GammaLoadPlus
  • GammaSteel olarak adlandırılan bilinen bir PowerShell arka kapısı için yükleyici görevi gören GammaInstall
  • GammaLoad.PS, GammaLoad’un bir PowerShell uygulaması
  • GammaLoadLight.PS, yayılmanın kendisini bağlı USB cihazlarına yaymak için kod içeren bir PowerShell çeşidi
  • Ana bilgisayardan çeşitli bilgileri toplayan PowerShell tabanlı bir numaralandırma komut dosyası olan GammaInfo
  • GammaSteel, izin verilen uzantı listesine dayanarak kurbandan dosya sızdırmaya yönelik PowerShell tabanlı bir kötü amaçlı yazılım

IBM X-Force araştırmacıları bu ayın başlarında yaptığı açıklamada, “Hive0051, Telegram, Telegraph ve Filetransfer.io dahil olmak üzere birçok kanalda senkronize DNS akışı yoluyla altyapıyı döndürüyor.” dedi ve bunun “aktör kaynaklarında ve devam eden operasyonlara ayrılan yeteneklerde potansiyel bir artışa işaret ettiğini” belirtti.

“Hive0051’in yeni araçları, yetenekleri ve teslimat yöntemlerini tutarlı bir şekilde sahaya sürmesi büyük olasılıkla hızlandırılmış bir operasyon temposunu kolaylaştırıyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link