Microsoft cảnh báo: Tin tặc APT28 khai thác lỗ hổng Windows

APT28 đã sử dụng công cụ này để khai thác lỗ hổng CVE-2022-38028 “ít nhất là từ tháng 6 năm 2020 và có thể sớm nhất là từ tháng 4 năm 2019”.

Redmond đã sửa lỗ hổng được Cơ quan An ninh Quốc gia Hoa Kỳ báo cáo trong Bản vá thứ ba tháng 10 năm 2022 của Microsoft nhưng vẫn chưa gắn thẻ lỗ hổng này là bị khai thác chủ động trong các cuộc tư vấn của mình.

Các tin tặc quân đội, thuộc Đơn vị quân đội 26165 thuộc Tổng cục tình báo chính của Bộ Tổng tham mưu (GRU), sử dụng GooseEgg để khởi chạy và triển khai các tải trọng độc hại bổ sung cũng như chạy nhiều lệnh khác nhau với đặc quyền cấp HỆ THỐNG.

Microsoft đã chứng kiến những kẻ tấn công loại bỏ công cụ post-compromise này dưới dạng một tập lệnh (batch script)  Windows có tên 'execute.bat' hoặc 'doit.bat', công cụ này khởi chạy một tệp thực thi GooseEgg và hoạt động trên hệ thống bị xâm nhập bằng cách thêm một tác vụ theo lịch trình khởi chạy 'servtask .bat', tập lệnh batch script thứ hai được ghi vào đĩa.

Microsoft cũng sử dụng GooseEgg để thả một tệp DLL độc hại được nhúng (trong một số trường hợp được đặt tên là 'wayzgoose23.dll') trong PrintSpooler có quyền HỆ THỐNG.

DLL này thực sự là một trình khởi chạy ứng dụng có thể thực thi các payload khác với các quyền ở cấp HỆ THỐNG và cho phép kẻ tấn công triển khai các backdoor, di chuyển ngang qua mạng của nạn nhân và thực thi mã từ xa trên các hệ thống bị vi phạm.

Microsoft giải thích: “Microsoft đã quan sát Forest Blizzard sử dụng GooseEgg như một phần của các hoạt động hậu xâm nhập chống lại các mục tiêu bao gồm chính phủ Ukraine, Tây Âu và Bắc Mỹ, các tổ chức phi chính phủ, giáo dục và lĩnh vực vận tải”.

"Mặc dù là một ứng dụng khởi chạy đơn giản, GooseEgg có khả năng tạo ra các ứng dụng khác được chỉ định tại dòng lệnh với quyền nâng cao, cho phép các tác nhân đe dọa hỗ trợ bất kỳ mục tiêu tiếp theo nào như thực thi mã từ xa, cài đặt cửa sau và di chuyển ngang qua các mạng bị xâm nhập. "

Các cuộc tấn công mạng nổi bật

APT28, một nhóm hack nổi tiếng của Nga, đã thưc hiện nhiều cuộc tấn công mạng quy mô lớn kể từ khi nhóm này xuất hiện lần đầu vào giữa những năm 2000.

Chẳng hạn, một năm trước, các cơ quan tình báo của Hoa Kỳ và Vương quốc Anh đã cảnh báo về việc APT28 khai thác lỗ hổng zero-day của bộ định tuyến Cisco để triển khai phần mềm độc hại Jaguar Tooth, cho phép nó thu thập thông tin nhạy cảm từ các mục tiêu ở Hoa Kỳ và EU.

Gần đây hơn, vào tháng 2, một lời khuyên chung do FBI, NSA và các đối tác quốc tế đưa ra đã cảnh báo rằng APT28 đã sử dụng Ubiquiti EdgeRouters đã bị hack để tránh bị phát hiện trong các cuộc tấn công.

Trước đây, chúng cũng có liên quan đến vụ vi phạm Nghị viện Liên bang Đức (Deutscher Bundestag) và các vụ hack Ủy ban Chiến dịch Quốc hội Dân chủ (DCCC) và Ủy ban Quốc gia Dân chủ (DNC) trước Cuộc bầu cử Tổng thống Hoa Kỳ năm 2016.

Hai năm sau, Hoa Kỳ buộc tội các thành viên APT28 vì liên quan đến các cuộc tấn công DNC và DCCC, trong khi Hội đồng Liên minh Châu Âu cũng xử phạt các thành viên APT28 vào tháng 10 năm 2020 vì vụ hack Quốc hội Liên bang Đức.

Nguồn: bleepingcomputer.com