Microsoft warnte kürzlich vor den Aktivitäten einer hochentwickelten Gruppe Hacker unterstützt durch die Kremlerkannt als APT28das eine kritische Schwachstelle im ausnutzt Windows-Druckspooler. Dieser Exploit, der es Angreifern ermöglicht, Berechtigungen zu erweitern und Anmeldeinformationen und Daten zu stehlen, wurde mithilfe von a ausgeführt Hacken bisher unbekannter Name Gänseei.
Enthüllt von MicrosoftDiese Gruppe ist seit mindestens Juni 2020 und möglicherweise seit April 2019 aktiv und nutzt die Sicherheitslücke aus CVE-2022-38028 informiert durch die Nationale Sicherheitsbehörde der Vereinigten Staaten (NSA) und im Oktober 2022 während der repariert Microsoft-Patchdienstag für Oktober 2022. Allerdings gab es in den Bekanntmachungen des Unternehmens keinen Hinweis darauf, dass es aktiv ausgenutzt wurde.
APT28auch unter verschiedenen Namen bekannt als Waldsturm, Sednit, Sofa, GRU-Einheit 26165entweder Ausgefallener Bärwurde von den Regierungen der USA und des Vereinigten Königreichs mit dem in Verbindung gebracht Referat 26165 der Hauptnachrichtendirektion der russischen Armee, besser bekannt als GRUberichtet ArsTechnica.
Diese Gruppe hat seit Mitte der 2000er Jahre mehrere aufsehenerregende Cyberangriffe durchgeführt und ihre Bemühungen auf die Informationsbeschaffung gerichtet, indem sie eine Vielzahl von Organisationen gehackt hat, vor allem in den Vereinigten Staaten, Europa und im Nahen Osten.
Das Werkzeug Gänseei ermöglicht es Angreifern, die höchsten verfügbaren Systemprivilegien zu erlangen Windows: „Obwohl es sich bei dieser digitalen Ressource um eine einfache Startanwendung handelt ist in der Lage, andere in der Befehlszeile angegebene Anwendungen mit erhöhten Berechtigungen zu starten“, bemerkte Microsoft.
Dies ermöglicht es Bedrohungsakteuren, alle sekundären Ziele zu unterstützen, wie z. B. Remote-Codeausführung, Hintertürinstallation und laterale Bewegung über kompromittierte Netzwerke. Gänseeidas mithilfe eines einfachen Batch-Skripts installiert wird, hat seine Fähigkeit bewiesen, die Persistenz auf infizierten Systemen aufrechtzuerhalten und bei jedem Start des gefährdeten Computers einen Neustart durchzuführen.
Die Verwendung dieses Tools zum Bereitstellen von a bösartige DLL-Dateiin einigen Fällen mit dem Namen „wayzgoose23.dll“, im Kontext des Dienstes PrintSpooler Mit Systemberechtigungen wurde es dokumentiert.
Das dll-Datei fungiert als Anwendungsstarter, der andere Payloads mit Berechtigungen auf SYSTEM-Ebene ausführen kann. Microsoft hat das beobachtet Waldsturm Verwendet Gänseei bei Post-Engagement-Aktivitäten gegen Ziele, einschließlich Regierungs- und Nichtregierungsorganisationen sowie Organisationen des Bildungs- und Transportsektors in Ukraine, Westeuropa Und Nordamerika.
Zu den hochkarätigen Angriffen gehören APT28 Die Ausnutzung eines Zero-Days in Routern wird festgestellt Cisco Schadsoftware einzusetzen Jaguarzahn Vor einem Jahr warnten die USA und US-Geheimdienste damals Großbritannien; Zuletzt erschien im Februar eine gemeinsame Mitteilung der FBI, NSA und internationale Partner warnten, dass die Hackergruppe Router nutzte EdgeRouter von Ubiquiti gehackt, um bei Angriffen nicht entdeckt zu werden.
Außerdem, APT28 wurde mit dem Hacken von in Verbindung gebracht Deutscher Bundestag (Deutscher Bundestag) und die Infiltrationen in der Ausschuss für demokratische Kongresskampagnen (DCCC) und das Demokratisches Nationalkomitee (DNC) vor den Präsidentschaftswahlen USA von 2016.
Den Mitgliedern der Hackergruppe wurde vorgeworfen USA zwei Jahre später für seine Beteiligung an den Anschlägen auf DNC Und DCCCInzwischen er Rat der Europäischen Union sanktionierte Mitglieder von APT28 im Oktober 2020 aufgrund des Hackings von Deutscher Bundestag.
