泰勒克罗斯
科技巨头微软最近修复了俄罗斯黑客正在利用的 Windows 软件漏洞。威胁行为者响应多个组织名称,包括 APT 28、Forrest Blizzard 和 Fancy Bear。
该组织通常以向全球多家公司发起各种网络钓鱼和欺骗攻击而闻名。该组织的多名研究人员得出的结论是,他们进行的攻击有利于俄罗斯国家,这导致许多人得出结论,他们是真正的国家支持的黑客组织。
他们利用 Windows Printer Spooler 服务授予自己管理权限并从 Microsoft 网络窃取受损信息。该行动涉及使用 GooseEgg,这是一种新发现的为该行动定制的恶意软件工具 APT 28。
过去,该组织还创建了其他黑客工具,例如 X-Tunnel、XAgent、Foozer 和 DownRange。该组织利用这些工具发起攻击并将设备出售给其他犯罪分子。这被称为恶意软件即服务模型。
该漏洞被称为 CVE-2022-38028,多年来一直未被发现,这使得这些黑客有充分的机会从 Windows 获取敏感数据。
微软解释说,APT 28“利用 GooseEgg 作为针对乌克兰、西欧和北美政府、非政府、教育和交通部门组织等目标的攻击后活动的一部分”。
黑客“实现远程代码执行、安装后门以及通过受感染网络横向移动等后续目标。”
CVE-2022-38028 发现后,多位网络安全专家纷纷发声,表达了他们对该行业的担忧。
Greg Fitzgerald 写道:“安全团队在识别和修复 CVE 方面已经变得非常高效,但越来越多的是这些环境漏洞(在本例中是在管理打印过程的 Windows Print Spooler 服务中)造成了安全漏洞,使恶意行为者能够访问数据。” ,Sevco Security 联合创始人。
微软已经修复了该安全漏洞,但这一长达数年的漏洞造成的潜在损害尚不清楚,而且该黑客组织仍然逍遥法外。
