聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
APT 28 黑客组织被指“至少从2020年6月,甚至早在2019年4月就开始”利用CVE-2022-38028。该漏洞由美国国家安全局 (NSA) 报送,微软在2022年10月补丁星期二中修复了该漏洞并将其标记为已遭活跃利用状态。
APT 28黑客组织被认为是俄罗斯格鲁乌26165部队的一部分,它利用 GooseEgg 发动并部署额外的恶意 payload 并以系统级别权限运行多种命令。微软发现该组织将这款攻陷后工具以Windows批量脚本的方式释放,该脚本名为 “execute.bat” 或 “doit.bat”,它启动 GooseEgg 可执行文件并通过添加启动第二个写入磁盘的批量脚本 “servtask.bat” 的调度任务的方式,在受陷系统上获得可持久性。他们还使用 GooseEgg 工具,以系统权限在 PrintSpooler 服务上下文中释放嵌入式恶意 DLL 文件(在某些情况下被称为 “wayzgoose23.dll)。该DLL实际上是一款app启动器,可以系统权限执行其它 payload,并使攻击者部署后门,在受害者网络中横向移动并在受陷系统上运行远程代码。
微软解释称,“微软发现 Forest Blizzard 将 GooseEgg 作为攻陷后活动的一部分,攻击乌克兰、西欧和北美政府、非政府、教育和交通行业的组织机构。虽然 GooseEgg 是一款简单的启动器应用,但它能够通过提升后的权限扩展到其它应用,从而使攻击者能够支持其它目标如远程代码执行、安装后门并在受陷网络中横向移动。”
APT28是一个引人注目的俄罗斯黑客组织,出现于2000年代中期,负责执行很多高级别网络攻击活动。
例如,一年前,英美情报服务提醒称APT28利用思科路由器0day漏洞部署 Jaguar Tooth 恶意软件,从位于美国和欧洲的目标中窃取敏感信息。今年2月,FBI、NSA和国际合作伙伴发布联合公告提到,APT28入侵Ubiquiti EdgeRouters 躲避检测。该组织还被指攻击德国联邦议会,并在2016年美国总统大选仟攻击DCCC和DNC。此事件发生两年后,美国起诉APT28成员参与DNC和DCCC攻击,而欧盟议会也在2020年10月就APT28入侵德国联邦议会而对其实施制裁。
https://www.bleepingcomputer.com/news/security/microsoft-russian-apt28-hackers-exploit-windows-flaw-reported-by-nsa-using-gooseegg-tool/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~