Tyler Cross
Teknologigiganten, Microsoft, rettet nylig en sårbarhet med sin Windows-programvare som russisk-baserte hackere utnyttet. Trusselaktørene svarer på flere gruppenavn, inkludert APT 28, Forrest Blizzard og Fancy Bear.
Vanligvis er gruppen kjent for å lansere en rekke phishing- og spoofing-angrep mot forskjellige selskaper over hele verden. Flere forskere i gruppen konkluderte med at de utfører angrep som gagner den russiske staten, noe som førte til at mange konkluderte med at de er en ekte statsstøttet hackergruppe.
De utnyttet Windows Printer Spooler-tjenesten til å gi seg selv administrative privilegier og stjele kompromittert informasjon fra Microsofts nettverk. Operasjonen innebar bruk av GooseEgg, et nylig identifisert skadelig programvareverktøy APT 28 tilpasset operasjonen.
Tidligere har gruppen laget andre hackingverktøy, som X-Tunnel, XAgent, Foozer og DownRange. Gruppen bruker disse verktøyene til både å sette i gang angrep og selge utstyret til andre kriminelle. Dette er kjent som en malware-as-a-service-modell.
Sårbarheten, kalt CVE-2022-38028, ble uoppdaget i flere år, og ga disse hackerne gode muligheter til å høste sensitive data fra Windows.
APT 28 "bruker GooseEgg som en del av aktiviteter etter kompromiss mot mål inkludert ukrainske, vesteuropeiske og nordamerikanske myndigheter, ikke-statlige organisasjoner, utdannings- og transportsektoren," forklarer Microsoft.
Hackerne "oppfølger mål som ekstern kjøring av kode, installere en bakdør og bevege seg sideveis gjennom kompromitterte nettverk."
Flere cybersikkerhetseksperter har uttalt seg etter oppdagelsen av CVE-2022-38028, og har gitt uttrykk for bekymringer om industrien.
«Sikkerhetsteam har blitt utrolig effektive til å identifisere og utbedre CVE-er, men i økende grad er det disse miljøsårbarhetene – i dette tilfellet innenfor Windows Print Spooler-tjenesten, som administrerer utskriftsprosesser – som skaper sikkerhetshull som gir ondsinnede aktører tilgang til data», skriver Greg Fitzgerald , medgründer av Sevco Security.
Microsoft har fikset sikkerhetsutnyttelsen, men de potensielle skadene fra dette flere år lange bruddet er ukjente, og hackergruppen er fortsatt stor.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
