微软:APT28 利用由NSA报送的 Windows 漏洞
2024-4-24 17:31:58 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

微软提醒称,俄罗斯 APT28 威胁组织利用 Windows Print Spooler 漏洞 (CVE-2022-38028),通过此前未知的黑客工具 GooseEgg提升权限,窃取凭据和数据。

APT 28 黑客组织被指“至少从2020年6月,甚至早在2019年4月就开始”利用CVE-2022-38028。该漏洞由美国国家安全局 (NSA) 报送,微软在2022年10月补丁星期二中修复了该漏洞并将其标记为已遭活跃利用状态。

APT 28黑客组织被认为是俄罗斯格鲁乌26165部队的一部分,它利用 GooseEgg 发动并部署额外的恶意 payload 并以系统级别权限运行多种命令。微软发现该组织将这款攻陷后工具以Windows批量脚本的方式释放,该脚本名为 “execute.bat” 或 “doit.bat”,它启动 GooseEgg 可执行文件并通过添加启动第二个写入磁盘的批量脚本 “servtask.bat” 的调度任务的方式,在受陷系统上获得可持久性。他们还使用 GooseEgg 工具,以系统权限在 PrintSpooler 服务上下文中释放嵌入式恶意 DLL 文件(在某些情况下被称为 “wayzgoose23.dll)。该DLL实际上是一款app启动器,可以系统权限执行其它 payload,并使攻击者部署后门,在受害者网络中横向移动并在受陷系统上运行远程代码。

微软解释称,“微软发现 Forest Blizzard 将 GooseEgg 作为攻陷后活动的一部分,攻击乌克兰、西欧和北美政府、非政府、教育和交通行业的组织机构。虽然 GooseEgg 是一款简单的启动器应用,但它能够通过提升后的权限扩展到其它应用,从而使攻击者能够支持其它目标如远程代码执行、安装后门并在受陷网络中横向移动。”

高级别网络攻击的历史

APT28是一个引人注目的俄罗斯黑客组织,出现于2000年代中期,负责执行很多高级别网络攻击活动。

例如,一年前,英美情报服务提醒称APT28利用思科路由器0day漏洞部署 Jaguar Tooth 恶意软件,从位于美国和欧洲的目标中窃取敏感信息。今年2月,FBI、NSA和国际合作伙伴发布联合公告提到,APT28入侵Ubiquiti EdgeRouters 躲避检测。该组织还被指攻击德国联邦议会,并在2016年美国总统大选仟攻击DCCC和DNC。此事件发生两年后,美国起诉APT28成员参与DNC和DCCC攻击,而欧盟议会也在2020年10月就APT28入侵德国联邦议会而对其实施制裁。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

思科修复NSA报告的Nexus 交换机DoS漏洞及其它

速修复!NSA 报告四个严重和高危 Exchange Server RCE 漏洞

NSA公开了91%的0day漏洞 剩下的自己留着

俄罗斯黑客组织APT 28和 TA505 最新动态

微软4月补丁星期二值得关注的漏洞:4个0day及更多

原文链接

https://www.bleepingcomputer.com/news/security/microsoft-russian-apt28-hackers-exploit-windows-flaw-reported-by-nsa-using-gooseegg-tool/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519350&idx=2&sn=c98c01499f531e3ceed8f1597c30c578&chksm=ea94bd1cdde3340a7c757c539d7f708d85af2ff07df6f7ceeb2c4755fea809a41f36f2e1ab53&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh