Croix de Tyler
Le géant de la technologie Microsoft a récemment corrigé une vulnérabilité de son logiciel Windows exploitée par des pirates informatiques basés en Russie. Les acteurs de la menace répondent à plusieurs noms de groupes, notamment APT 28, Forrest Blizzard et Fancy Bear.
En règle générale, le groupe est connu pour lancer diverses attaques de phishing et d’usurpation d’identité contre diverses entreprises dans le monde. Plusieurs chercheurs du groupe ont conclu qu'ils menaient des attaques qui profitaient à l'État russe, ce qui a conduit beaucoup à conclure qu'il s'agissait d'un véritable groupe de piratage informatique parrainé par l'État.
Ils ont exploité le service Windows Printer Spooler pour s'accorder des privilèges administratifs et voler des informations compromises sur le réseau de Microsoft. L'opération impliquait l'utilisation de GooseEgg, un outil malveillant nouvellement identifié, APT 28, personnalisé pour l'opération.
Dans le passé, le groupe a créé d'autres outils de piratage, tels que X-Tunnel, XAgent, Foozer et DownRange. Le groupe utilise ces outils à la fois pour lancer des attaques et pour vendre du matériel à d'autres criminels. C’est ce qu’on appelle un modèle de malware en tant que service.
La vulnérabilité, baptisée CVE-2022-38028, n'a pas été détectée pendant plusieurs années, offrant à ces pirates de nombreuses opportunités de récolter des données sensibles à partir de Windows.
APT 28 « utilise GooseEgg dans le cadre d’activités post-compromis contre des cibles telles que les organisations gouvernementales ukrainiennes, d’Europe occidentale et nord-américaines, les organisations non gouvernementales, l’éducation et les secteurs des transports », explique Microsoft.
Les pirates « poursuivent des objectifs tels que l’exécution de code à distance, l’installation d’une porte dérobée et le déplacement latéral à travers des réseaux compromis ».
Plusieurs experts en cybersécurité se sont exprimés après la découverte du CVE-2022-38028, exprimant leurs inquiétudes concernant l'industrie.
« Les équipes de sécurité sont devenues incroyablement efficaces pour identifier et corriger les CVE, mais ce sont de plus en plus ces vulnérabilités environnementales – dans ce cas au sein du service Windows Print Spooler, qui gère les processus d'impression – qui créent des failles de sécurité permettant aux acteurs malveillants d'accéder aux données », écrit Greg Fitzgerald. , co-fondateur de Sevco Sécurité.
Microsoft a corrigé l'exploit de sécurité, mais les dommages potentiels causés par cette faille qui dure depuis plusieurs années sont inconnus et le groupe de pirates est toujours en liberté.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
