Tyler Kreuz
Veröffentlicht am: 25. April 2024
Der Technologieriese Microsoft hat kürzlich eine Schwachstelle in seiner Windows-Software behoben, die russische Hacker ausnutzten. Die Bedrohungsakteure gehören mehreren Gruppennamen an, darunter APT 28, Forrest Blizzard und Fancy Bear.
Typischerweise ist die Gruppe dafür bekannt, eine Vielzahl von Phishing- und Spoofing-Angriffen auf verschiedene Unternehmen weltweit zu starten. Mehrere Forscher der Gruppe kamen zu dem Schluss, dass sie Angriffe zum Nutzen des russischen Staates durchführen, was viele zu dem Schluss führte, dass es sich um eine echte staatlich geförderte Hackergruppe handelte.
Sie nutzten den Windows-Drucker-Spooler-Dienst aus, um sich Administratorrechte zu verschaffen und kompromittierte Informationen aus dem Microsoft-Netzwerk zu stehlen. Bei der Operation kam GooseEgg zum Einsatz, ein neu identifiziertes Malware-Tool APT 28, das speziell für die Operation entwickelt wurde.
In der Vergangenheit entwickelte die Gruppe andere Hacking-Tools wie X-Tunnel, XAgent, Foozer und DownRange. Die Gruppe nutzt diese Tools, um Angriffe zu starten und die Ausrüstung an andere Kriminelle zu verkaufen. Dies wird als Malware-as-a-Service-Modell bezeichnet.
Die Schwachstelle mit der Bezeichnung CVE-2022-38028 blieb mehrere Jahre lang unentdeckt, was diesen Hackern zahlreiche Möglichkeiten bot, vertrauliche Daten von Windows abzugreifen.
APT 28 „nutzt GooseEgg als Teil von Post-Compromise-Aktivitäten gegen Ziele wie ukrainische, westeuropäische und nordamerikanische Regierungs-, Nichtregierungs-, Bildungs- und Transportsektororganisationen“, erklärt Microsoft.
Die Hacker „verfolgen Ziele wie die Remote-Codeausführung, die Installation einer Hintertür und die seitliche Bewegung durch kompromittierte Netzwerke.“
Mehrere Cybersicherheitsexperten haben sich nach der Entdeckung von CVE-2022-38028 zu Wort gemeldet und ihre Besorgnis über die Branche geäußert.
„Sicherheitsteams sind bei der Identifizierung und Behebung von CVEs unglaublich effizient geworden, aber zunehmend sind es diese Umgebungsschwachstellen – in diesem Fall innerhalb des Windows-Druckspooler-Dienstes, der Druckprozesse verwaltet –, die Sicherheitslücken schaffen, die böswilligen Akteuren Zugriff auf Daten ermöglichen“, schreibt Greg Fitzgerald , Mitbegründer von Sevco Security.
Microsoft hat die Sicherheitslücke behoben, der potenzielle Schaden durch diesen mehrjährigen Verstoß ist jedoch unbekannt und die Hackergruppe ist immer noch auf freiem Fuß.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
