Tyler Cross
Teknikgiganten Microsoft har for nylig rettet en sårbarhed med sin Windows-software, som russisk-baserede hackere udnyttede. Trusselsaktørerne svarer til flere gruppenavne, inklusive APT 28, Forrest Blizzard og Fancy Bear.
Typisk er gruppen kendt for at lancere en række forskellige phishing- og spoofingangreb på forskellige virksomheder verden over. Flere forskere i gruppen konkluderede, at de udfører angreb, der gavner den russiske stat, hvilket fik mange til at konkludere, at de er en ægte statssponsoreret hackergruppe.
De udnyttede Windows Printer Spooler-tjenesten til at give sig selv administrative privilegier og stjæle kompromitteret information fra Microsofts netværk. Operationen involverede brugen af GooseEgg, et nyligt identificeret malware-værktøj APT 28 tilpasset til operationen.
Tidligere skabte gruppen andre hackingværktøjer, såsom X-Tunnel, XAgent, Foozer og DownRange. Gruppen bruger disse værktøjer til både at iværksætte angreb og sælge udstyret til andre kriminelle. Dette er kendt som en malware-as-a-service model.
Sårbarheden, kaldet CVE-2022-38028, forblev uopdaget i flere år, hvilket gav disse hackere rig mulighed for at høste følsomme data fra Windows.
APT 28 "bruger GooseEgg som en del af post-kompromisaktiviteter mod mål, herunder ukrainske, vesteuropæiske og nordamerikanske regerings-, ikke-statslige organisationer, uddannelses- og transportsektorens organisationer," forklarer Microsoft.
Hackerne "opfølgende mål som fjernudførelse af kode, installation af en bagdør og bevægelse sideværts gennem kompromitterede netværk."
Flere cybersikkerhedseksperter har udtalt sig efter opdagelsen af CVE-2022-38028 og har givet udtryk for deres bekymringer om industrien.
"Sikkerhedsteams er blevet utroligt effektive til at identificere og afhjælpe CVE'er, men i stigende grad er det disse miljømæssige sårbarheder - i dette tilfælde inden for Windows Print Spooler-tjenesten, som styrer udskrivningsprocesser - der skaber sikkerhedshuller, der giver ondsindede aktører adgang til data," skriver Greg Fitzgerald , medstifter af Sevco Security.
Microsoft har rettet sikkerhedsudnyttelsen, men de potentielle skader fra dette flere år lange brud er ukendte, og hackergruppen er stadig stor.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
