Nhóm APT28 khai thác lỗ hổng Windows Print Spooler để triển khai phần mềm độc hại GooseEgg

Tác nhân liên quan đến Nga, được gọi là APT28 đã sử dụng một lỗ hổng bảo mật trong Windows Print Spooler của Microsoft để triển khai một phần mềm độc hại tùy chỉnh trước đó được gọi là GooseEgg.

Công cụ được triển khai sau khi bị tấn công, được cho là đã tồn tại từ tháng 6 năm 2020 và có thể từ tháng 4 năm 2019, đã tận dụng một lỗ hổng hiện đã được vá cho phép tăng quyền (CVE-2022-38028, điểm CVSS: 7.8).

Lỗ hổng đã được Microsoft vá bởi các bản cập nhật phát hành vào tháng 10 năm 2022, với Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) được ghi nhận đã báo cáo lỗ hổng vào thời điểm đó.

Theo các phát hiện mới, APT28 – còn được gọi là Fancy Bear và Forest Blizzard (trước đây là Strontium) – đã sử dụng lỗ hổng này trong các cuộc tấn công nhắm vào tổ chức chính phủ, phi chính phủ, giáo dục và vận tải tại Ukraine, Tây Âu và Bắc Mỹ.

“Forest Blizzard đã sử dụng công cụ […] để khai thác lỗ hổng CVE-2022-38028 trong dịch vụ Windows Print Spooler bằng cách sửa đổi một tệp hạn chế JavaScript và thực thi nó với quyền hạn cấp cao (SYSTEM),” công ty nói.

“Mặc dù là một ứng dụng khởi chạy đơn giản, GooseEgg có khả năng tạo ra các ứng dụng khác được chỉ định tại dòng lệnh với quyền hạn được nâng cao, cho phép các mối đe dọa thực hiện bất kỳ mục tiêu tiếp theo nào như thực thi mã từ xa, cài đặt một backdoor, và lây lan trong các mạng đã bị chiếm quyền.”

Forest Blizzard được đánh giá là có liên quan đến Unit 26165 thuộc Cục Tình báo Quân đội của Nga, Tổng cục Tình báo Chính phủ của Bộ Tổng tham mưu của Quân đội Liên bang Nga (GRU).

Hoạt động trong gần 15 năm, các hoạt động của nhóm hacker được hậu cấp bởi Kremlin chủ yếu nhằm vào việc thu thập thông tin tình báo để hỗ trợ các chính sách đối ngoại của chính phủ Nga.

Trong những tháng gần đây, nhóm APT28 cũng đã sử dụng một lỗ hổng tăng quyền trong Microsoft Outlook (CVE-2023-23397, điểm CVSS: 9.8) và một lỗi thực thi mã trong WinRAR (CVE-2023-38831, điểm CVSS: 7.8), cho thấy khả năng của họ trong việc nhanh chóng áp dụng các lỗ hổng công khai vào kỹ thuật công việc của họ.

“Mục tiêu của Forest Blizzard khi triển khai GooseEgg là để đạt được quyền truy cập cao hơn vào các hệ thống mục tiêu và đánh cắp thông tin và thông tin đăng nhập,” Microsoft nói. “GooseEgg thường được triển khai với một batch script.”