Af Eskil Sørensen, 23/04/24
Microsoft advarer om, at den russiske APT28-gruppe udnytter en Windows Print Spooler-sårbarhed i angreb til eskalering af privilegier og at få adgang til legitimationsoplysninger og data ved hjælp af et hidtil ukendt hackingværktøj kaldet GooseEgg.
Det skriver Bleeping Computer.
APT28 har brugt dette værktøj til at udnytte CVE-2022-38028-sårbarheden "siden mindst juni 2020 og muligvis så tidligt som april 2019", fremgår det. Selve sårbarheden, der i sin tid fik CVSS-scoren 7,8, blev rettet i forbindelse med Patch Tuesday i oktober 2022.
Men det har ikke forhindret APT28, en gruppe der hører under en af Ruslands efterretningstjenester (GRU), til at bruge et værktøj kaldet GooseEgg til at starte og implementere yderligere ondsindede payloads og køre forskellige kommandoer med rettigheder på SYSTEM-niveau.
GooseEgg er ifølge Bleeping Computers omtale en simpel launcher-applikation. Men den er også i stand til at skabe andre applikationer specificeret på kommandolinjen med forhøjede tilladelser. Det giver trusselsaktører mulighed for at understøtte eventuelle opfølgende mål såsom remote code execution, installation af bagdøre og bevægelser sideværts gennem kompromitterede netværk, de såkaldte lateral movements.
Også en anden GRU-gruppe, Forest Blizzard bruger ifølge Microsoft GooseEgg som en del af såkaldte post-kompromitteringsaktiviteter mod mål som ukrainske, vesteuropæiske og nordamerikanske myndigheder, ikke-statslige organisationer og organisationer inden or uddannelses- og transportsektoren.