Tyler Kruis
Gepubliceerd op: 25 april 2024
De technologiegigant Microsoft heeft onlangs een kwetsbaarheid in zijn Windows-software opgelost die door Russische hackers werd uitgebuit. De bedreigingsactoren beantwoorden aan meerdere groepsnamen, waaronder APT 28, Forrest Blizzard en Fancy Bear.
Meestal staat de groep bekend om het lanceren van een verscheidenheid aan phishing- en spoofing-aanvallen op verschillende bedrijven over de hele wereld. Meerdere onderzoekers van de groep kwamen tot de conclusie dat zij aanvallen uitvoeren die de Russische staat ten goede komen, waardoor velen tot de conclusie kwamen dat zij een echte door de staat gesponsorde hackgroep zijn.
Ze maakten misbruik van de Windows Printer Spooler-service om zichzelf beheerdersrechten te geven en gecompromitteerde informatie van het Microsoft-netwerk te stelen. Bij de operatie werd gebruik gemaakt van GooseEgg, een nieuw geïdentificeerde malwaretool APT 28 die speciaal voor de operatie was aangepast.
In het verleden heeft de groep andere hacktools gemaakt, zoals X-Tunnel, XAgent, Foozer en DownRange. De groep gebruikt deze tools om aanvallen uit te voeren en de apparatuur aan andere criminelen te verkopen. Dit staat bekend als een malware-as-a-service-model.
De kwetsbaarheid, genaamd CVE-2022-38028, bleef jarenlang onopgemerkt, waardoor deze hackers volop mogelijkheden hadden om gevoelige gegevens uit Windows te verzamelen.
APT 28 “gebruikt GooseEgg als onderdeel van post-compromisactiviteiten tegen doelwitten, waaronder Oekraïense, West-Europese en Noord-Amerikaanse overheids-, niet-gouvernementele, onderwijs- en transportsectororganisaties”, legt Microsoft uit.
De hackers “vervolgen doelstellingen zoals het op afstand uitvoeren van code, het installeren van een achterdeur en het zich zijdelings verplaatsen door gecompromitteerde netwerken.”
Verschillende cybersecurity-experts hebben zich uitgesproken na de ontdekking van CVE-2022-38028 en uitten hun zorgen over de sector.
“Beveiligingsteams zijn ongelooflijk efficiënt geworden in het identificeren en herstellen van CVE’s, maar het zijn steeds vaker deze kwetsbaarheden in de omgeving – in dit geval binnen de Windows Print Spooler-service, die de afdrukprocessen beheert – die gaten in de beveiliging creëren waardoor kwaadwillende actoren toegang krijgen tot gegevens”, schrijft Greg Fitzgerald. , mede-oprichter van Sevco Security.
Microsoft heeft het beveiligingslek verholpen, maar de potentiële schade als gevolg van deze jarenlange inbreuk is onbekend en de hackergroep is nog steeds op vrije voeten.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/
