Tanınmış bir Rus gelişmiş kalıcı tehdit (APT) grubu, birkaç yıldır ortalıkta dolaşan bir hatadan yararlanmak için özel bir araç kullanıyor. Windows Yazdırma Biriktiricisi Dünya çapında çok sayıda istihbarat toplama saldırısında ayrıcalıkları yükseltmeye ve kimlik bilgilerini çalmaya yönelik bir hizmet. Ayrıca yeni saldırıların önünü açıyor gibi görünüyor.
Fantezi Ayı (diğer adıyla APT28, Forest Blizzard, Pawn Storm, Sofacy Group ve Stronsiyum) Rusya Genelkurmay Ana İstihbarat Müdürlüğü’ne bağlıdır. En az Haziran 2020’den beri ve muhtemelen Nisan 2019 gibi erken bir tarihte GooseEgg adlı bir aracı kullanıyor. CVE-2022-38028 Microsoft Tehdit İstihbaratı, Windows Yazdırma Biriktiricisi hizmetindeki güvenlik açığını ortaya çıkardı bir blog yazısında 22 Nisan’da.
Microsoft, bu kusuru başarıyla kullanan bir saldırganın SİSTEM ayrıcalıkları kazanmasına olanak tanıyan kusuru Ekim 2022’de yamaladı. Fancy Bear, GooseEgg’i kullanarak bir JavaScript kısıtlamaları dosyası ve bunu SİSTEM düzeyindeki izinlerle yürütün.
“Basit bir başlatıcı uygulaması olmasına rağmen GooseEgg, komut satırında belirtilen diğer uygulamaları yükseltilmiş izinlerle oluşturma yeteneğine sahip olup, tehdit aktörlerinin uzaktan kod yürütme, arka kapı kurma ve güvenliği ihlal edilmiş ağlar üzerinden yanal olarak hareket etme gibi takip eden hedefleri desteklemesine olanak tanır. “yazıya göre.
Microsoft, Fancy Bear’ın çeşitli Ukrayna, Batı Avrupa ve Kuzey Amerika hükümetlerine, sivil toplum kuruluşlarına, eğitim ve ulaşım sektörü kuruluşlarına yönelik saldırılarda GooseEgg’i kullandığını keşfetti.
Bir yazıcı hizmetleri teknolojisi olan Windows Yazdırma Biriktiricisi, popüler bir hedef saldırganlar için saldırmaya eğilimliyim Windows’ta yazdırma işlemini yöneten yazılımı etkileyen çok sayıda kusur hakkında. Bunlardan en bilineni iki toplu olarak PrintNightmare adı verilen güvenlik açıkları Bunlar Haziran 2021’in sonlarında keşfedildi ve bir dizi iyi belgelenmiş saldırıya yol açtı.
Windows Yazdırma Biriktiricisi için Uyarlanmış GooseEgg Kötü Amaçlı Yazılım
O Fantezi Ayı Microsoft’a göre hizmetin kendisini hedeflemek sıra dışı değil; ancak bu saldırılarda ayrıcalıkları yükseltmek için yeni keşfedilen GooseEgg’i kullanması grup için yeni bir tehdit faaliyetidir. GooseEgg genellikle karşılık gelen bir GooseEgg yürütülebilir dosyasını çağıran ve kalıcılığı zamanlanmış bir görev olarak ayarlayan bir toplu komut dosyasıyla dağıtılır.
GooseEgg ikili dosyası daha sonra her biri farklı çalışma yoluna sahip dört komuttan birini alır. Gönderiye göre, “İkili dosya verilen önemsiz bir komutu başlatıyor gibi görünse de, aslında ikili dosya bunu benzersiz ve karmaşık bir şekilde yapıyor ve muhtemelen etkinliğin gizlenmesine yardımcı oluyor.”
İkili sistemin komutlarından ikisi, Yazdırma Biriktiricisi kusuruna yönelik istismarı tetikler ve sağlanan bir dinamik bağlantı kitaplığını (DLL) veya yükseltilmiş izinlere sahip yürütülebilir dosyayı başlatırken, başka bir komut, istismarı test eder ve başarılı olup olmadığını kontrol eder.
GooseEgg tarafından başlatılan gömülü kötü amaçlı DLL dosyasının adı genellikle wayzgoose23.dll gibi “wayzgoose” ifadesini içerir. Microsoft Tehdit İstihbaratına göre bu DLL ve kötü amaçlı yazılımın diğer bileşenleri, Windows C:\ProgramData dizini altında oluşturulan çeşitli kurulum alt dizinlerinden birine dağıtılır.
Bu istismar sonuçta nesne yöneticisindeki yeni oluşturulan dizine işaret edecek şekilde C: sürücüsü sembolik bağlantısının yerini alır, bu da Yazdırma Biriktiricisi’nin bu kayıt defterini yüklemeye çalıştığında kopyalanan sürücü paketlerini içeren aktör tarafından kontrol edilen dizine yeniden yönlendirilmesine neden olur: C:\ Windows\System32\DriverStore\FileRepository\pnms009.inf_amd64_a7412a554c9bc1fd\MPDW-Constraints.js.
Gönderiye göre, sonunda yardımcı DLL wayzgoose.dll dosyası, SYSTEM izinlerine sahip PrintSpooler hizmeti bağlamında “diğer uygulamaları oluşturabilen temel bir başlatıcı uygulaması” olarak başlatılıyor.
Süslü Ayı Siber Casusluğunu Uzak Tutmak
Fancy Bear’ın, öncelikle istihbarat toplamayı içeren ancak bununla sınırlı olmayan hain etkinlikleri için hedefleri tehlikeye atmak üzere, özellikle Microsoft ürünlerindeki bilinen güvenlik açıklarına saldırma konusunda bir geçmişi vardır. Geçen yıl bir telaş yaşandı siber casusluk saldırıları Microsoft’un Outlook e-posta istemcisindeki sıfır tıklama güvenlik açığı olan CVE-2023-23397’yi kullanan NATO ülkelerindeki devlet kurumlarına ve Orta Doğu’daki kuruluşlara karşı.
Grubun en yüksek profilli saldırısı, hacklemeyle olan bağları olabilir. çalıştırma girişimi Grup, 2016 ABD başkanlık seçimlerinde son zamanlarda çeşitli saldırılarda en dikkat çekici şekilde aktif oldu Ukrayna’ya karşı Rusya’nın ülkeye karşı savaşı Şubat 2022’de başladığından beri.
Kuruluşların Rus APT’sinden gelen saldırılara karşı kendilerini koruyabilmelerinin en iyi yolu, hedeflediği savunmasız ürünlere yönelik yamalar uygulamaktır. Microsoft, kullanıcıların aşağıdakileri uygulamasını önerdi: CVE-2022-38028 güvenlik güncellemesi Windows Yazdırma Biriktiricisine yönelik GooseEgg tehdidini azaltmak için; bu arada Microsoft Defender Antivirus, belirli Forest Blizzard özelliğini HackTool:Win64/GooseEgg olarak algılar.
Microsoft’a göre, sorunu hafifletmenin bir başka yolu da Windows Yazdırma Biriktiricisi hizmeti etki alanı denetleyicisi işlemlerini devre dışı bırakmaktır; çünkü bu gerekli değildir. Yazdırma Biriktiricisi hizmetinin etkin olduğu etki alanı denetleyicilerinin belirlenmesine yardımcı olmak amacıyla Kimlik için Microsoft Defender’ın yerleşik güvenlik değerlendirmesi Etki alanı denetleyicilerindeki Yazdırma Biriktiricisi hizmetlerinin kullanılabilirliğini izleyen.
Sevco Security’nin kurucu ortağı Greg Fitzgerald, yazıcıların envanterinin genellikle yetersiz olması nedeniyle yazıcı hatalarının düzeltilmesinin özellikle zor olduğunu belirtiyor.
Fitzgerald, “Güvenlik ekipleri CVE’leri belirleme ve düzeltme konusunda inanılmaz derecede verimli hale geldi, ancak kötü niyetli aktörlerin verilere erişmesine olanak tanıyan güvenlik açıkları yaratan şey giderek daha fazla çevresel güvenlik açıkları oluyor” diyor. “Bu güvenlik açıkları, BT ortamlarında açıkça gizleniyor ve bir güvenlik ortamı yaratıyor. Güvenlik ekiplerinin göremediği ancak yine de sorumlu olduğu tehditler. Talihsiz gerçek şu ki çoğu kuruluş, saldırı yüzeyinin tamamını yansıtan doğru bir BT varlık envanteri oluşturamıyor. Bu da onları, istismar edilebilir güvenlik açıkları içeren unutulmuş BT varlıklarını nerede arayacaklarını bilen saldırganların insafına bırakıyor.”