Η Microsoft προειδοποιεί ότι οι Ρώσοι hackers APT28 εκμεταλλεύονται μια ευπάθεια του Windows Print Spooler για να αποκτήσουν περισσότερα προνόμια σε συστήματα και να κλέψουν credentials και δεδομένα, χρησιμοποιώντας ένα hacking εργαλείο που ονομάζεται GooseEgg.
Συγκεκριμένα, η ομάδα εκμεταλλεύεται την ευπάθεια CVE-2022-38028 “τουλάχιστον από τον Ιούνιο του 2020 και πιθανώς από τον Απρίλιο του 2019“.
Η Microsoft διόρθωσε την ευπάθεια, που αναφέρθηκε από την Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA), στο Patch Tuesday Οκτωβρίου 2022. Μέχρι τώρα, όμως, δεν είχε αναφέρει ότι χρησιμοποιείται ενεργά σε επιθέσεις.
Δείτε επίσης: Οι Ρώσοι hackers APT28 παραβιάζουν Ubiquiti EdgeRouters για επιθέσεις
Οι Ρώσοι hackers APT28, που αποτελούν μέρος της Στρατιωτικής Μονάδας 26165 της Κύριας Διεύθυνσης Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU), χρησιμοποιούν το hacking εργαλείο GooseEgg για να εκμεταλλευτούν την ευπάθεια Windows και να αναπτύξουν επιπλέον κακόβουλα payloads. Επιπλέον, μπορούν να εκτελούν διάφορες εντολές με SYSTEM-level privileges.
Σύμφωνα με τη Microsoft, οι hackers εγκαθιστούν αυτό το εργαλείο ως Windows batch script με το όνομα «execute.bat» ή «doit.bat», το οποίο εκκινεί ένα εκτελέσιμο αρχείο GooseEgg και κερδίζει persistence στο παραβιασμένο σύστημα, προσθέτοντας ένα scheduled task που εκκινεί το «servtask.bat», ένα δεύτερο batch script γραμμένο στο δίσκο.
Επιπλέον, χάρη στο GooseEgg, μπορούν να εγκαταστήσουν ένα κακόβουλο αρχείο DLL (σε ορισμένες περιπτώσεις ονομάζεται “wayzgoose23.dll”) στο πλαίσιο της υπηρεσίας PrintSpooler, με δικαιώματα SYSTEM.
Αυτό το DLL είναι στην πραγματικότητα ένα app launcher, που μπορεί να εκτελέσει άλλα payloads με SYSTEM-level permissions. Οι Ρώσοι hackers APT28 μπορούν να αναπτύξουν backdoors, να εξαπλωθούν στα δίκτυα των θυμάτων και να εκτελέσουν κώδικα απομακρυσμένα στα παραβιασμένα συστήματα.
Η Microsoft παρατήρησε ότι οι hackers έχουν χρησιμοποιήσει το GooseEgg για να στοχεύσουν κυβερνητικούς οργανισμούς της Ουκρανίας, της Δυτικής Ευρώπης και της Βόρειας Αμερικής. Επίσης, έχουν στοχεύσει τον κλάδο της εκπαίδευσης και των μεταφορών.
Δείτε επίσης: Οι Ρώσοι hackers APT28 μολύνουν οργανισμούς με το HeadLace backdoor
“Ενώ είναι ένα απλό launcher application, το GooseEgg μπορεί να δημιουργήσει άλλες εφαρμογές με αυξημένα δικαιώματα, επιτρέποντας στους παράγοντες απειλής να υποστηρίζουν οποιουσδήποτε επόμενους στόχους όπως η απομακρυσμένη εκτέλεση κώδικα, η εγκατάσταση ενός backdoor και η εξάπλωση στα παραβιασμένα δίκτυα“.
Ρώσοι hackers APT28
Οι Ρώσοι hackers APT28 ξεκίνησαν τις επιχειρήσεις τους στα μέσα της δεκαετίας του 2000 και έχουν συνδεθεί με πολλές σημαντικές επιθέσεις. Για παράδειγμα, θεωρούνται υπεύθυνοι για την παραβίαση του γερμανικού ομοσπονδιακού κοινοβουλίου (Deutscher Bundestag) και τις επιθέσεις στα Democratic Congressional Campaign Committee (DCCC) και Democratic National Committee (DNC) πριν τις εκλογές των ΗΠΑ το 2016.
Για την αντιμετώπιση των παραπάνω επιθέσεων είναι απαραίτητη η εφαρμογή των απαραίτητων ενημερώσεων ασφαλείας. Οι Ρώσοι hackers εκμεταλλεύονται μια ευπάθεια των Windows. Επομένως, η διόρθωση της ευπάθειας θα μπορούσε να αποτρέψει τις επιθέσεις.
Δείτε επίσης: Γαλλία: Οι Ρώσοι hackers APT28 παραβίασαν κρίσιμα δίκτυα
Οι ενημερώσεις λoγισμικού είναι ζωτικής σημασίας για την κυβερνοασφάλεια. Όταν οι εταιρείες λογισμικού ανακαλύπτουν κενά ασφαλείας ή ευπάθειες στον κώδικά τους, αναπτύσσουν ενημερώσεις για να διορθώσουν αυτά τα προβλήματα. Αυτές οι ενημερώσεις περιλαμβάνουν συνήθως διορθώσεις που αποτρέπουν τους κακόβουλους χρήστες από το να εκμεταλλευτούν τις ευπάθειες και να προκαλέσουν ζημιές στο σύστημα. Οι κακόβουλοι χρήστες και οι επιτιθέμενοι αναζητούν συνεχώς νέους τρόπους για να εκμεταλλευτούν το λογισμικό και να προκαλέσουν ζημιές. Οι ενημερώσεις επιτρέπουν στους χρήστες να αντιμετωπίσουν αυτές τις νέες απειλές με την εγκατάσταση των απαραίτητων προστατευτικών μέτρων.
Επομένως, φροντίστε να εφαρμόζετε τις ενημερώσεις λoγισμικού το συντομότερο δυνατόν μετά την κυκλοφορία τους. Οποιαδήποτε καθυστέρηση στην εγκατάστασή τους μπορεί να εκθέσει το σύστημά σας σε κινδύνους.
Πηγή: www.bleepingcomputer.com
