Корпорация Microsoft предупредила, что пророссийская хакерская группа APT28 начала использовать уязвимость диспетчера очереди печати Windows для повышения привилегий и кражи учётных данных с помощью ранее неизвестного хакерского инструмента под названием GooseEgg.
По словам экспертов по кибербезопасности, группировка APT28использует этот инструмент для эксплуатации уязвимости CVE-2022-38028 «как минимум с июня 2020 года, а возможно, и с апреля 2019 года». Причём эту уязвимость разработчики Microsoft устранили, о ней ранее сообщало Агентство национальной безопасности США.
По словам представителей корпорации Microsoft, российские хакеры из группировки APT28, которые якобы относятся к Главному разведывательному управлению Генерального штаба России, сейчас активно эксплуатируют малоизученный хакерский инструмент под названием GooseEgg, который применяется для запуска и развёртывания дополнительных полезных нагрузок, а также выполнения всевозможных команд с привилегиями системного уровня.
В частности, в компании Microsoft рассказали, что хакеры группировки APT28 использовали этот инструмент после компрометации в виде пакетного сценария Windows с именем «execute.bat» или «doit.bat», который запускает исполняемый файл GooseEgg и обеспечивает постоянство в скомпрометированной системе, добавляя запланированное задание, запускающее «servtask.bat», второй пакетный сценарий, записанный на диск.
В Microsoft отмечают, что они также используют GooseEgg для удаления встроенного вредоносного файла DLL (в некоторых случаях называемого «wayzgoose23.dll») в контексте службы PrintSpooler с системными разрешениями. Эта DLL на самом деле представляет собой средство запуска приложений, которое может выполнять другие полезные нагрузки с разрешениями уровня системы и позволяет злоумышленникам развёртывать бэкдоры, перемещаться по сетям жертв и удалённо запускать код на взломанных системах.
«Microsoft наблюдала, как группа Forest Blizzard использовала GooseEgg в рамках действий после компрометации против целей, включая правительственные, неправительственные, образовательные и транспортные организации Украины, Западной Европы и Северной Америки», — уточнили в Microsoft.
Оригинал публикации на сайте CISOCLUB: "Microsoft: «русские хакеры» начали использовать уязвимость диспетчера очереди печати Windows".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.