Tyler Cross
Tehnikagigant Microsoft parandas hiljuti oma Windowsi tarkvaraga haavatavuse, mida Venemaal asuvad häkkerid ära kasutasid. Ohunäitlejad vastavad mitmele rühmanimele, sealhulgas APT 28, Forrest Blizzard ja Fancy Bear.
Tavaliselt on grupp tuntud mitmesuguste andmepüügi- ja võltsimisrünnakute algatamise poolest erinevates ettevõtetes üle maailma. Mitmed grupi uurijad jõudsid järeldusele, et nad korraldavad rünnakuid, millest on kasu Vene riigile, mistõttu paljud jõudsid järeldusele, et tegemist on tõelise riiklikult toetatud häkkimisrühmaga.
Nad kasutasid ära teenust Windows Printer Spooler, et anda endale administraatoriõigused ja varastada Microsofti võrgust ohustatud teavet. Operatsioon hõlmas GooseEggi, äsja tuvastatud pahavara tööriista APT 28 kasutamist, mis oli operatsiooni jaoks kohandatud.
Varem lõi rühm muid häkkimistööriistu, nagu X-Tunnel, XAgent, Foozer ja DownRange. Rühm kasutab neid tööriistu nii rünnakute algatamiseks kui ka varustuse müümiseks teistele kurjategijatele. Seda nimetatakse pahavara-teenusena mudeliks.
Turvaauku nimega CVE-2022-38028 ei tuvastatud mitu aastat, võimaldades neil häkkeritel Windowsist tundlikke andmeid koguda.
APT 28 "kasutab GooseEggi kompromissijärgsete tegevuste osana sihtmärkide vastu, sealhulgas Ukraina, Lääne-Euroopa ja Põhja-Ameerika valitsuste, valitsusväliste, haridus- ja transpordisektori organisatsioonide vastu," selgitab Microsoft.
Häkkerid "järgivad eesmärke, nagu koodi kaugkäivitamine, tagaukse installimine ja külgmine liikumine läbi ohustatud võrkude."
Mitmed küberturvalisuse eksperdid on pärast CVE-2022-38028 avastamist sõna võtnud, väljendades oma muret selle valdkonna pärast.
"Turvameeskonnad on muutunud CVE-de tuvastamisel ja parandamisel uskumatult tõhusaks, kuid üha enam on just need keskkonnaalased haavatavused – antud juhul prindiprotsesse haldava Windowsi prindispuuleri teenuses – need, mis loovad turvalünki, mis annavad pahatahtlikele osalejatele juurdepääsu andmetele," kirjutab Greg Fitzgerald. , Sevco Security kaasasutaja.
Microsoft on turvalisuse ärakasutamise parandanud, kuid selle mitu aastat kestnud rikkumise võimalikud kahjud pole teada ja häkkerite rühmitus on endiselt suur.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
