Tyler Cross
Teknikjätten Microsoft åtgärdade nyligen en sårbarhet med sin Windows-programvara som ryskbaserade hackare utnyttjade. Hotaktörerna svarar på flera gruppnamn, inklusive APT 28, Forrest Blizzard och Fancy Bear.
Vanligtvis är gruppen känd för att lansera en mängd olika nätfiske- och spoofingattacker på olika företag över hela världen. Flera forskare i gruppen drog slutsatsen att de utför attacker som gynnar den ryska staten, vilket fick många att dra slutsatsen att de är en genuin statssponsrad hackergrupp.
De utnyttjade Windows Printer Spooler-tjänsten för att ge sig själva administrativa privilegier och stjäla komprometterad information från Microsofts nätverk. Operationen involverade användningen av GooseEgg, ett nyligen identifierat malware-verktyg APT 28 anpassat för operationen.
Tidigare skapade gruppen andra hackverktyg, som X-Tunnel, XAgent, Foozer och DownRange. Gruppen använder dessa verktyg för att både starta attacker och sälja utrustningen till andra kriminella. Detta är känt som en malware-as-a-service-modell.
Sårbarheten, kallad CVE-2022-38028, förblev oupptäckt i flera år, vilket gav dessa hackare stora möjligheter att samla in känslig data från Windows.
APT 28 "använder GooseEgg som en del av aktiviteter efter kompromiss mot mål inklusive ukrainska, västeuropeiska och nordamerikanska myndigheter, icke-statliga organisationer, utbildnings- och transportsektororganisationer", förklarar Microsoft.
Hackarna "uppföljningsmål som fjärrexekvering av kod, installation av en bakdörr och förflyttning i sidled genom komprometterade nätverk."
Flera cybersäkerhetsexperter har uttalat sig efter upptäckten av CVE-2022-38028 och uttryckt sin oro för branschen.
"Säkerhetsteam har blivit otroligt effektiva på att identifiera och åtgärda CVE:er, men i allt högre grad är det dessa miljömässiga sårbarheter - i det här fallet inom Windows Print Spooler-tjänsten, som hanterar utskriftsprocesser - som skapar säkerhetsluckor som ger skadliga aktörer tillgång till data", skriver Greg Fitzgerald , medgrundare av Sevco Security.
Microsoft har fixat säkerhetsexploatet, men de potentiella skadorna från detta fleråriga intrång är okända och hackergruppen är fortfarande stor.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
