泰勒克羅斯
科技巨頭微軟最近修復了俄羅斯駭客正在利用的 Windows 軟體漏洞。威脅行為者回應多個組織名稱,包括 APT 28、Forrest Blizzard 和 Fancy Bear。
該組織通常以向全球多家公司發動各種網路釣魚和欺騙攻擊而聞名。該組織的多名研究人員得出的結論是,他們進行的攻擊有利於俄羅斯國家,這導致許多人得出結論,他們是真正的國家支持的駭客組織。
他們利用 Windows Printer Spooler 服務授予自己管理權限並從 Microsoft 網路竊取受損資訊。該行動涉及使用 GooseEgg,這是一種新發現的為該行動定制的惡意軟體工具 APT 28。
過去,該組織還創建了其他駭客工具,例如 X-Tunnel、XAgent、Foozer 和 DownRange。該組織利用這些工具發動攻擊並將設備出售給其他犯罪分子。這被稱為惡意軟體即服務模式。
該漏洞被稱為 CVE-2022-38028,多年來一直未被發現,為這些駭客提供了充足的機會從 Windows 獲取敏感資料。
微軟解釋說,APT 28「利用 GooseEgg 作為烏克蘭、西歐和北美政府、非政府、教育和交通部門組織等目標的攻擊後活動的一部分」。
駭客“實現遠端程式碼執行、安裝後門以及透過受感染網路橫向移動等後續目標。”
CVE-2022-38028 發現後,多位網路安全專家紛紛發聲,表達了他們對該行業的擔憂。
Greg Fitzgerald 寫道:「安全團隊在識別和修復CVE 方面已經變得非常高效,但越來越多的是這些環境漏洞(在本例中是在管理列印過程的Windows Print Spooler 服務中)造成了安全漏洞,使惡意行為者能夠存取資料。
微軟已經修復了該安全漏洞,但這一長達數年的漏洞造成的潛在損害尚不清楚,而且該駭客組織仍然逍遙法外。
