Tyler Cross
Teknologiajätti Microsoft korjasi äskettäin Windows-ohjelmistollaan haavoittuvuuden, jota venäläiset hakkerit käyttivät hyväkseen. Uhkatoimijat vastaavat useisiin ryhmien nimiin, mukaan lukien APT 28, Forrest Blizzard ja Fancy Bear.
Tyypillisesti ryhmä tunnetaan erilaisista tietojenkalastelu- ja huijaushyökkäyksistä eri yrityksiin maailmanlaajuisesti. Useat ryhmän tutkijat päättelivät, että he tekevät hyökkäyksiä, jotka hyödyttävät Venäjän valtiota, ja monet päättelevät, että he ovat aito valtion tukema hakkerointiryhmä.
He käyttivät Windows Printer Spooler -palvelua antaakseen itselleen järjestelmänvalvojan oikeudet ja varastaakseen vaarantuneet tiedot Microsoftin verkosta. Toiminnassa käytettiin GooseEggiä, äskettäin tunnistettua haittaohjelmatyökalua APT 28, joka on räätälöity toimintaan.
Aiemmin ryhmä loi muita hakkerointityökaluja, kuten X-Tunnel, XAgent, Foozer ja DownRange. Ryhmä käyttää näitä työkaluja sekä käynnistääkseen hyökkäyksiä että myydäkseen laitteita muille rikollisille. Tämä tunnetaan malware-as-a-service -mallina.
Haavoittuvuus, nimeltään CVE-2022-38028, jäi havaitsematta useisiin vuosiin, mikä antoi näille hakkereille runsaasti mahdollisuuksia kerätä arkaluonteisia tietoja Windowsista.
APT 28 "käyttää GooseEggiä osana kompromissin jälkeisiä toimia sellaisia kohteita vastaan, joita ovat Ukrainan, Länsi-Euroopan ja Pohjois-Amerikan hallitukset, kansalaisjärjestöt, koulutus- ja kuljetusalan organisaatiot", Microsoft selittää.
Hakkerit "seuraavat tavoitteita, kuten etäkoodin suorittamista, takaoven asentamista ja liikkumista sivusuunnassa vaarantuneiden verkkojen läpi."
Useat kyberturvallisuusasiantuntijat ovat puhuneet CVE-2022-38028:n löytämisen jälkeen ja ilmaisseet huolensa alasta.
"Tietoturvatiimit ovat tulleet uskomattoman tehokkaiksi CVE:n tunnistamisessa ja korjaamisessa, mutta yhä useammin juuri nämä ympäristöhaavoittuvuudet – tässä tapauksessa Windows Print Spooler -palvelussa, joka hallitsee tulostusprosesseja - luo tietoturvaaukkoja, jotka antavat haitallisille toimijoille pääsyn tietoihin", kirjoittaa Greg Fitzgerald. , Sevco Securityn perustaja.
Microsoft on korjannut tietoturvahyödynnyksen, mutta tämän useita vuosia kestäneen tietomurron mahdollisia vahinkoja ei tunneta, ja hakkeriryhmä on edelleen laajalla.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
