• April 23, 2024
• Written by: 管理者
• No Comments

ロシアのAPT28がWindows Print Spoolerの脆弱性を悪用して「GooseEgg」マルウェアを配布
ロシアにリンクされた国家主導の脅威アクターであるAPT28は、Microsoft Windows Print Spoolerコンポーネントのセキュリティー欠陥を悪用して、以前には知られていなかったカスタムマルウェア

「GooseEgg」を配布しました。

このコンプロマイズ後のツールは、少なくとも2020年6月から使用されており、おそらくは2019年4月から利用されているとされ、現在修正された脆弱性を利用して権限昇格（CVE-2022-38028、CVSSスコア：7.8）を可能にしました。

この問題は、2022年10月にリリースされたアップデートの一環としてMicrosoftによって対処され、その時には米国国家安全保障局（NSA）が脆弱性を報告したことが認められています。

テックジャイアントの脅威インテリジェンスチームの新たな発見によると、APT28（通称Fancy BearおよびForest Blizzard、以前の名をStrontium）は、ウクライナ、西欧、北米の政府、非政府、教育、交通部門の組織を対象にこのバグを悪用した攻撃を行っています。

サイバーセキュリティ
「Forest Blizzardは、このツール[…]を使用してWindows Print SpoolerサービスのCVE-2022-38028の脆弱性を悪用し、JavaScript制約ファイルを変更してSYSTEMレベルの権限で実行します」と同社は述べています。

「シンプルなランチャーアプリケーションであるGooseEggは、コマンドラインで指定された他のアプリケーションを生成する能力があり、脅威アクターがリモートコード実行、バックドアのインストール、侵害されたネットワークを通じての横断移動など、続く目的をサポートすることを可能にします。」

Forest Blizzardは、ロシア連邦軍情報局の一部であるユニット26165に所属していると評価されています。

約15年間活動しているクレムリン支持のハッキンググループの活動は、主にロシア政府の外交政策イニシアチブを支援する情報収集に向けられています。

最近の数ヶ月で、APT28のハッカーはMicrosoft Outlook（CVE-2023-23397、CVSSスコア：9.8）の権限昇格の脆弱性とWinRAR（CVE-2023-38831、CVSSスコア：7.8）のコード実行バグを悪用しており、公開されたエクスプロイトを素早く自身の技術に取り入れる能力を示しています。

「Forest BlizzardがGooseEggを展開する目的は、対象システムへのアクセス権を高め、認証情報や情報を盗むことです」とMicrosoftは述べています。”GooseEggは通常、バッチスクリプトと共に展開されます。”

GooseEggバイナリは、エクスプロイトを