De met Rusland verbonden natiestaat-dreigingsacteur volgde als APT28 heeft een beveiligingsfout in de Microsoft Windows Print Spooler-component bewapend om een voorheen onbekende aangepaste malware genaamd GooseEgg af te leveren.
De post-compromis-tool, die naar verluidt al sinds juni 2020 en mogelijk al in april 2019 werd gebruikt, maakte gebruik van een inmiddels gepatchte fout die escalatie van privileges mogelijk maakte (CVE-2022-38028, CVSS-score: 7,8).
Het werd door Microsoft verholpen als onderdeel van updates die in oktober 2022 werden uitgebracht, waarbij de Amerikaanse National Security Agency (NSA) destijds werd gecrediteerd voor het melden van de fout.
Volgens nieuwe bevindingen van het dreigingsinformatieteam van de technologiegigant heeft APT28 – ook wel Fancy Bear en Forest Blizzard (voorheen Strontium) genoemd – de bug ingezet bij aanvallen gericht op de Oekraïense, West-Europese en Noord-Amerikaanse overheid, niet-gouvernementele organisaties, het onderwijs en het transport. sector organisaties.
“Forest Blizzard heeft de tool gebruikt […] om misbruik te maken van de CVE-2022-38028-kwetsbaarheid in de Windows Print Spooler-service door een JavaScript-beperkingenbestand te wijzigen en het uit te voeren met machtigingen op SYSTEEMniveau”, aldus het bedrijf.
“Hoewel het een eenvoudige launcher-applicatie is, is GooseEgg in staat om andere applicaties die op de opdrachtregel zijn gespecificeerd, met verhoogde rechten voort te brengen, waardoor bedreigingsactoren eventuele vervolgdoelen kunnen ondersteunen, zoals het uitvoeren van code op afstand, het installeren van een achterdeur en het zich zijdelings verplaatsen door gecompromitteerde netwerken. “
Er wordt aangenomen dat Forest Blizzard banden heeft met eenheid 26165 van de militaire inlichtingendienst van de Russische Federatie, het hoofdinlichtingendirectoraat van de generale staf van de strijdkrachten van de Russische Federatie (GRU).
De activiteiten van de door het Kremlin gesteunde hackgroep zijn al bijna vijftien jaar actief en zijn voornamelijk gericht op het verzamelen van inlichtingen ter ondersteuning van initiatieven op het gebied van het buitenlands beleid van de Russische overheid.
De afgelopen maanden hebben APT28-hackers ook misbruik gemaakt van een privilege-escalatiefout in Microsoft Outlook (CVE-2023-23397, CVSS-score: 9,8) en een code-uitvoeringsfout in WinRAR (CVE-2023-38831, CVSS-score: 7,8), waarmee ze hun vermogen om publieke exploits snel in hun vak te integreren.
“Het doel van Forest Blizzard bij het inzetten van GooseEgg is het verkrijgen van verhoogde toegang tot doelsystemen en het stelen van inloggegevens en informatie”, aldus Microsoft. “GooseEgg wordt doorgaans geïmplementeerd met een batchscript.”
Het binaire bestand GooseEgg ondersteunt opdrachten om de exploit te activeren en een meegeleverde Dynamic-Link Library (DLL) of een uitvoerbaar bestand met verhoogde machtigingen te starten. Het verifieert ook of de exploit met succes is geactiveerd met behulp van de whoami-opdracht.
De onthulling komt op het moment dat IBM X-Force nieuwe phishing-aanvallen onthulde, georkestreerd door de Gamaredon-acteur (ook bekend als Aqua Blizzard, Hive0051 en UAC-0010) die nieuwe iteraties van de GammaLoad-malware opleveren –
- GammaLoad.VBS, een op VBS gebaseerde achterdeur die de infectieketen initieert
- GammaStager, dat wordt gebruikt voor het downloaden en uitvoeren van een reeks Base64-gecodeerde VBS-payloads
- GammaLoadPlus, dat wordt gebruikt om .EXE-payloads uit te voeren
- GammaInstall, dat dient als lader voor een bekende PowerShell-achterdeur die GammaSteel wordt genoemd
- GammaLoad.PS, een PowerShell-implementatie van GammaLoad
- GammaLoadLight.PS, een PowerShell-variant die code bevat om de spread zelf naar aangesloten USB-apparaten te verspreiden
- GammaInfo, een op PowerShell gebaseerd opsommingsscript dat verschillende informatie van de host verzamelt
- GammaSteel, een op PowerShell gebaseerde malware om bestanden van een slachtoffer te exfiltreren op basis van een toelatingslijst voor extensies
“Hive0051 roteert de infrastructuur door middel van gesynchroniseerde DNS-stromen over meerdere kanalen, waaronder Telegram, Telegraph en Filetransfer.io”, zeiden IBM X-Force-onderzoekers eerder deze maand, en stelden dat het “wijst op een potentiële verhoging van de middelen en capaciteiten van actoren voor lopende operaties.”
“Het is zeer waarschijnlijk dat Hive0051's consistente inzet van nieuwe tools, mogelijkheden en methoden voor levering een versneld operatietempo mogelijk maakt.”
