Tyler Cross
Publicat în data de: Aprilie 25, 2024
Gigantul tehnologic, Microsoft, a remediat recent o vulnerabilitate cu software-ul Windows pe care o exploatau hackeri din Rusia. Actorii amenințărilor răspund la mai multe nume de grup, inclusiv APT 28, Forrest Blizzard și Fancy Bear.
De obicei, grupul este cunoscut pentru lansarea unei varietăți de atacuri de phishing și falsificare la diferite companii din întreaga lume. Mai mulți cercetători ai grupului au concluzionat că efectuează atacuri care beneficiază statul rus, ceea ce i-a determinat pe mulți să concluzioneze că sunt un grup de hacking sponsorizat de stat.
Au exploatat serviciul Windows Printer Spooler pentru a-și acorda privilegii administrative și pentru a fura informații compromise din rețeaua Microsoft. Operațiunea a implicat utilizarea GooseEgg, un instrument malware APT 28 nou identificat, personalizat pentru operațiune.
În trecut, grupul a creat alte instrumente de hacking, cum ar fi X-Tunnel, XAgent, Foozer și DownRange. Grupul folosește aceste instrumente atât pentru a lansa atacuri, cât și pentru a vinde echipamentul altor criminali. Acesta este cunoscut sub numele de model malware-as-a-service.
Vulnerabilitatea, denumită CVE-2022-38028, a rămas nedetectată timp de mai mulți ani, permițând acestor hackeri oportunități ample de a colecta date sensibile din Windows.
APT 28 „folosește GooseEgg ca parte a activităților post-compromis împotriva unor ținte, inclusiv organizații guvernamentale ucrainene, europene de vest și nord-americane, neguvernamentale, educaționale și din sectorul transporturilor”, explică Microsoft.
Hackerii „urmează obiective, cum ar fi execuția de cod de la distanță, instalarea unei uși din spate și deplasarea laterală prin rețele compromise”.
Mai mulți experți în securitate cibernetică s-au declarat după descoperirea CVE-2022-38028, exprimându-și îngrijorările cu privire la industrie.
„Echipele de securitate au devenit incredibil de eficiente în identificarea și remedierea CVE, dar din ce în ce mai mult aceste vulnerabilități de mediu – în acest caz în cadrul serviciului Windows Print Spooler, care gestionează procesele de imprimare – creează lacune de securitate, oferind actorilor rău intenționați acces la date”, scrie Greg Fitzgerald. , co-fondator al Sevco Security.
Microsoft a remediat problema de securitate, dar potențialele daune din această breșă de mai mulți ani sunt necunoscute, iar grupul de hackeri este încă larg.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
