2024-04-23 04:23:00
23 avril 2024Salle de presseNational Security Agency / Threat Intelligence
L’outil post-compromis, qui serait utilisé depuis au moins juin 2020 et peut-être dès avril 2019, a exploité une faille désormais corrigée qui permettait une élévation de privilèges (CVE-2022-38028, score CVSS : 7,8).
Ce problème a été résolu par Microsoft dans le cadre des mises à jour publiées en octobre 2022, la National Security Agency (NSA) des États-Unis étant créditée d’avoir signalé la faille à l’époque.
Selon de nouvelles découvertes de l’équipe de renseignement sur les menaces du géant de la technologie, APT28 – également appelé Fancy Bear et Forest Blizzard (anciennement Strontium) – a utilisé le bug dans des attaques ciblant les gouvernements, les organisations non gouvernementales, l’éducation et les transports d’Ukraine, d’Europe occidentale et d’Amérique du Nord. organisations du secteur.
«Forest Blizzard a utilisé l’outil […] pour exploiter la vulnérabilité CVE-2022-38028 dans le service Windows Print Spooler en modifiant un fichier de contraintes JavaScript et en l’exécutant avec des autorisations de niveau SYSTÈME», a déclaré la société.
«Bien qu’il s’agisse d’une simple application de lancement, GooseEgg est capable de générer d’autres applications spécifiées sur la ligne de commande avec des autorisations élevées, permettant aux acteurs malveillants de prendre en charge tout objectif ultérieur tel que l’exécution de code à distance, l’installation d’une porte dérobée et le déplacement latéral à travers des réseaux compromis. «
Forest Blizzard serait affilié à l’unité 26165 de l’agence de renseignement militaire de la Fédération de Russie, la Direction principale du renseignement de l’état-major général des forces armées de la Fédération de Russie (GRU).
Actif depuis près de 15 ans, les activités du groupe de piratage soutenu par le Kremlin sont principalement orientées vers la collecte de renseignements à l’appui des initiatives de politique étrangère du gouvernement russe.
Ces derniers mois, les pirates APT28 ont également abusé d’une faille d’élévation de privilèges dans Microsoft Outlook (CVE-2023-23397, score CVSS : 9,8) et d’un bug d’exécution de code dans WinRAR (CVE-2023-38831, score CVSS : 7,8), indiquant leur capacité à adopter rapidement les exploits publics dans leur métier.
«L’objectif de Forest Blizzard en déployant GooseEgg est d’obtenir un accès élevé aux systèmes cibles et de voler des informations d’identification et des informations», a déclaré Microsoft. «GooseEgg est généralement déployé avec un script batch.»
Le binaire GooseEgg prend en charge les commandes pour déclencher l’exploit et lancer soit une bibliothèque de liens dynamiques (DLL) fournie, soit un exécutable avec des autorisations élevées. Il vérifie également si l’exploit a été activé avec succès à l’aide de la commande whoami.
Cette divulgation intervient alors qu’IBM X-Force a révélé de nouvelles attaques de phishing orchestrées par l’acteur Gamaredon (alias Aqua Blizzard, Hive0051 et UAC-0010) ciblant l’Ukraine et la Pologne et fournissant de nouvelles itérations du malware GammaLoad –
- GammaLoad.VBS, qui est une porte dérobée basée sur VBS qui lance la chaîne d’infection
- GammaStager, qui est utilisé pour télécharger et exécuter une série de charges utiles VBS codées en Base64
- GammaLoadPlus, qui est utilisé pour exécuter des charges utiles .EXE
- GammaInstall, qui sert de chargeur pour une porte dérobée PowerShell connue appelée GammaSteel
- GammaLoad.PS, une implémentation PowerShell de GammaLoad
- GammaLoadLight.PS, une variante PowerShell qui contient du code pour propager la propagation elle-même aux périphériques USB connectés
- GammaInfo, un script d’énumération basé sur PowerShell collectant diverses informations auprès de l’hôte
- GammaSteel, un malware basé sur PowerShell pour exfiltrer les fichiers d’une victime en fonction d’une liste autorisée d’extensions
«Hive0051 fait pivoter l’infrastructure via un flux DNS synchronisé sur plusieurs canaux, notamment Telegram, Telegraph et Filetransfer.io», ont déclaré les chercheurs d’IBM X-Force dans une analyse plus tôt ce mois-ci, déclarant que cela «indique une augmentation potentielle des ressources et des capacités des acteurs consacrées aux activités en cours». opérations.»
« Il est fort probable que la mise en œuvre cohérente par Hive0051 de nouveaux outils, capacités et méthodes de livraison facilite un rythme d’opérations accéléré. »
Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.
#LAPT28 #russe #exploité #une #faille #spouleur #dimpression #Windows #pour #déployer #logiciel #malveillant #GooseEgg