Tyler Cross
Tæknirisinn, Microsoft, lagaði nýlega varnarleysi með Windows hugbúnaði sínum sem rússneskir tölvuþrjótar voru að nýta sér. Ógnaleikararnir svara mörgum hópnöfnum, þar á meðal APT 28, Forrest Blizzard og Fancy Bear.
Venjulega er hópurinn þekktur fyrir að hefja margvíslegar vefveiðar og skopstælingar á ýmis fyrirtæki um allan heim. Margir rannsakendur hópsins komust að þeirri niðurstöðu að þeir gerðu árásir sem gagnast rússneska ríkinu, sem leiddi til þess að margir héldu að þeir væru ósvikinn ríkisstyrktur tölvuþrjótahópur.
Þeir nýttu sér Windows Printer Spooler þjónustuna til að veita sjálfum sér stjórnunarréttindi og stela upplýsingum sem eru í hættu af netkerfi Microsoft. Aðgerðin fól í sér notkun á GooseEgg, nýgreindu spilliforriti APT 28 sérsniðið fyrir aðgerðina.
Í fortíðinni bjó hópurinn til önnur reiðhestverkfæri, eins og X-Tunnel, XAgent, Foozer og DownRange. Hópurinn notar þessi tæki bæði til að gera árásir og selja búnaðinn til annarra glæpamanna. Þetta er þekkt sem malware-as-a-service líkan.
Varnarleysið, kallað CVE-2022-38028, var óuppgötvað í mörg ár, sem leyfði þessum tölvuþrjótum næg tækifæri til að safna viðkvæmum gögnum frá Windows.
APT 28 er "að nota GooseEgg sem hluta af málamiðlunaraðgerðum gegn markmiðum þar á meðal úkraínskum, vestur-evrópskum og norður-amerískum stjórnvöldum, félagasamtökum, mennta- og samgöngufyrirtækjum," útskýrir Microsoft.
Tölvuþrjótarnir „í framhaldi af markmiðum eins og fjarkvörðun kóða, setja upp bakdyr og færa til hliðar í gegnum net í hættu.
Nokkrir netöryggissérfræðingar hafa tjáð sig eftir uppgötvun CVE-2022-38028 og lýst áhyggjum sínum af greininni.
„Öryggissveitir eru orðnar ótrúlega duglegar við að bera kennsl á og lagfæra CVE, en í auknum mæli eru það þessir umhverfisveikleikar – í þessu tilfelli innan Windows Print Spooler þjónustunnar, sem stjórnar prentferlum – sem skapa öryggiseyður sem veita illgjarnum aðilum aðgang að gögnum,“ skrifar Greg Fitzgerald , annar stofnandi Sevco Security.
Microsoft hefur lagað öryggismisnotkunina, en hugsanlegt tjón af þessu margra ára langa broti er óþekkt og tölvuþrjótahópurinn er enn stór.
- SEO knúið efni og PR dreifing. Fáðu magnara í dag.
- PlatoData.Network Vertical Generative Ai. Styrktu sjálfan þig. Aðgangur hér.
- PlatoAiStream. Web3 upplýsingaöflun. Þekking aukin. Aðgangur hér.
- PlatóESG. Kolefni, CleanTech, Orka, Umhverfi, Sól, Úrgangsstjórnun. Aðgangur hér.
- PlatoHealth. Líftækni og klínísk rannsóknagreind. Aðgangur hér.
- Heimild: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
