Tác nhân đe dọa quốc gia-nhà nước liên kết với Nga đã theo dõi khi APT28 vũ khí hóa một lỗ hổng bảo mật trong thành phần Microsoft Windows Print Spooler để cung cấp một phần mềm độc hại tùy chỉnh chưa được biết đến trước đây có tên GooseEgg.
Công cụ hậu thỏa hiệp, được cho là đã được sử dụng ít nhất là từ tháng 6 năm 2020 và có thể sớm nhất là vào tháng 4 năm 2019, đã tận dụng một lỗ hổng hiện đã được vá cho phép leo thang đặc quyền (CVE-2022-38028, điểm CVSS: 7,8).
Nó đã được Microsoft giải quyết như một phần của các bản cập nhật được phát hành vào tháng 10/2022, với Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) được ghi nhận vì đã báo cáo lỗ hổng vào thời điểm đó.
Theo những phát hiện mới từ nhóm tình báo mối đe dọa của gã khổng lồ công nghệ, APT28 - còn được gọi là Fancy Bear và Forest Blizzard (trước đây là Strontium) - đã vũ khí hóa lỗi này trong các cuộc tấn công nhắm vào các tổ chức chính phủ, phi chính phủ, giáo dục và giao thông vận tải của Ukraine, Tây Âu và Bắc Mỹ.
Forest Blizzard đã sử dụng công cụ [...] để khai thác lỗ hổng CVE-2022-38028 trong dịch vụ Windows Print Spooler bằng cách sửa đổi tệp ràng buộc JavaScript và thực thi nó với các quyền cấp HỆ THỐNG", công ty cho biết.
"Mặc dù là một ứng dụng launcher đơn giản, GooseEgg có khả năng sinh ra các ứng dụng khác được chỉ định tại dòng lệnh với các quyền nâng cao, cho phép các tác nhân đe dọa hỗ trợ bất kỳ mục tiêu tiếp theo nào như thực thi mã từ xa, cài đặt backdoor và di chuyển ngang qua các mạng bị xâm nhập."
Forest Blizzard được đánh giá có liên kết với Đơn vị 26165 thuộc cơ quan tình báo quân sự Liên bang Nga, Tổng cục Tình báo chính của Bộ Tổng tham mưu các lực lượng vũ trang Liên bang Nga (GRU).
Hoạt động trong gần 15 năm, các hoạt động của nhóm tin tặc do Điện Kremlin hậu thuẫn chủ yếu hướng tới việc thu thập thông tin tình báo để hỗ trợ các sáng kiến chính sách đối ngoại của chính phủ Nga.
Trong những tháng gần đây, tin tặc APT28 cũng đã lạm dụng lỗ hổng leo thang đặc quyền trong Microsoft Outlook (CVE-2023-23397, điểm CVSS: 9,8) và lỗi thực thi mã trong WinRAR (CVE-2023-38831, điểm CVSS: 7,8), cho thấy khả năng nhanh chóng áp dụng khai thác công khai vào nghề nghiệp của họ.
Tiết lộ được đưa ra khi IBM X-Force tiết lộ các cuộc tấn công lừa đảo mới được dàn dựng bởi diễn viên Gamaredon (hay còn gọi là Aqua Blizzard, Hive0051 và UAC-0010) cung cấp các lần lặp lại mới của phần mềm độc hại GammaLoad -
- GammaLoad.VBS, là một backdoor dựa trên VBS khởi tạo chuỗi lây nhiễm
- GammaStager, được sử dụng để tải xuống và thực thi một loạt các tải trọng VBS được mã hóa Base64
- GammaLoadPlus, được sử dụng để chạy tải trọng .EXE
- GammaInstall, đóng vai trò là bộ nạp cho một backdoor PowerShell đã biết được gọi là GammaSteel
- GammaLoad.PS, một triển khai PowerShell của GammaLoad
- GammaLoadLight.PS, một biến thể PowerShell chứa mã để lây lan sang các thiết bị USB được kết nối
- GammaInfo, một tập lệnh liệt kê dựa trên PowerShell thu thập nhiều thông tin khác nhau từ máy chủ
- GammaSteel, một phần mềm độc hại dựa trên PowerShell để trích xuất các tệp từ nạn nhân dựa trên danh sách cho phép mở rộng