Tyler Cross
A technológiai óriás, a Microsoft a közelmúltban javított egy biztonsági rést a Windows-szoftverén, amelyet az oroszországi hackerek kihasználtak. A fenyegetés szereplői több csoportnévre válaszolnak, beleértve az APT 28-at, a Forrest Blizzard-t és a Fancy Bear-t.
A csoport jellemzően arról ismert, hogy különféle adathalász és hamisító támadásokat indít különböző cégeknél világszerte. A csoport több kutatója arra a következtetésre jutott, hogy olyan támadásokat hajtanak végre, amelyek az orosz állam javát szolgálják, így sokan arra a következtetésre jutottak, hogy valódi, államilag támogatott hackercsoportról van szó.
Kihasználták a Windows Printer Spooler szolgáltatást, hogy rendszergazdai jogosultságokat szerezzenek maguknak, és ellopják a feltört információkat a Microsoft hálózatáról. A művelet a GooseEgg, egy újonnan azonosított, a művelethez testreszabott APT 28 kártevő-eszköz használatát jelentette.
A múltban a csoport más hackereszközöket hozott létre, mint például az X-Tunnel, az XAgent, a Foozer és a DownRange. A csoport ezeket az eszközöket használja támadások indítására és a felszerelések eladására más bűnözőknek. Ezt malware-as-a-service modellnek nevezik.
A CVE-2022-38028 névre keresztelt sebezhetőséget több éven át nem észlelték, így ezek a hackerek bőséges lehetőséget biztosítottak arra, hogy érzékeny adatokat gyűjtsenek be a Windows rendszerből.
Az APT 28 „a GooseEgg-et a kiegyezést követő tevékenységek részeként használja olyan célpontok ellen, mint az ukrán, nyugat-európai és észak-amerikai kormány, nem kormányzati, oktatási és közlekedési szektor szervezetei” – magyarázza a Microsoft.
A hackerek „követik az olyan célokat, mint a távoli kódfuttatás, hátsó ajtó telepítése és oldalirányú mozgás a feltört hálózatokon”.
Több kiberbiztonsági szakértő is felszólalt a CVE-2022-38028 felfedezése után, hangot adva az iparággal kapcsolatos aggályainak.
„A biztonsági csapatok hihetetlenül hatékonyak lettek a CVE-k azonosításában és orvoslásában, de egyre inkább ezek a környezeti sebezhetőségek – jelen esetben a Windows Print Spooler szolgáltatáson belül, amely a nyomtatási folyamatokat kezeli – okoznak biztonsági réseket, így a rosszindulatú szereplők hozzáférhetnek az adatokhoz” – írja Greg Fitzgerald. , a Sevco Security társalapítója.
A Microsoft kijavította a biztonsági kizsákmányolást, de ennek a több éves incidensnek a lehetséges kárai nem ismertek, és a hackercsoport továbbra is élesben van.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/