Microsoftは、ロシアの脅威グループAPT28がWindows Print Spoolerの脆弱性を悪用し、GooseEggと呼ばれるこれまで知られていなかったハッキングツールを使用して特権を昇格させ、認証情報とデータを盗んでいると警告している。
APT28はこのツールを使ってCVE-2022-38028の脆弱性を “少なくとも2020年6月以降、早ければ2019年4月から “悪用している。
レドモンドは、マイクロソフトの2022年10月のパッチチューズデーで米国家安全保障局から報告されたこの脆弱性を修正したが、アドバイザリーではまだ積極的に悪用されたとはタグ付けしていない。
ロシアの参謀本部(GRU)主情報総局の軍事ユニット26165の一部である軍事ハッカーは、GooseEggを使用して追加の悪意のあるペイロードを起動および展開し、SYSTEMレベルの特権でさまざまなコマンドを実行します。
このバッチ スクリプトは GooseEgg 実行ファイルを起動し、ディスクに書き込まれた 2 番目のバッチ スクリプトである「servtask.bat」を起動するスケジュール タスクを追加することで、侵害されたシステム上で永続性を獲得します。
また、GooseEggを使用して、PrintSpoolerサービスのコンテキストに埋め込まれた悪意のあるDLLファイル(場合によっては「wayzgoose23.dll」と呼ばれる)をSYSTEM権限でドロップします。
このDLLは、実際にはSYSTEMレベルの権限で他のペイロードを実行できるアプリのランチャーであり、攻撃者はバックドアを展開し、被害者のネットワークを横方向に移動し、侵入したシステム上でリモートコードを実行することができます。
「マイクロソフトは、Forest Blizzardがウクライナ、西ヨーロッパ、北米の政府機関、非政府組織、教育機関、運輸部門などの標的に対して、侵害後の活動の一環としてGooseEggを使用していることを確認しています」と説明しています。
「GooseEggは、単純なランチャーアプリケーションでありながら、コマンドラインで指定された他のアプリケーションを昇格した権限で起動することができるため、脅威行為者は、リモートでのコード実行、バックドアのインストール、侵害されたネットワークを横方向に移動するなど、あらゆる後続の目的をサポートすることができます。
著名なサイバー攻撃の歴史
ロシアの著名なハッキング・グループであるAPT28は、2000年代半ばに初めて表面化して以来、多くの著名なサイバー攻撃に関与してきた。
例えば、1年前、米国と英国の情報機関は、APT28がCiscoルーターのゼロデイを悪用してJaguar Toothマルウェアを展開し、米国とEUの標的から機密情報を採取できるようにしたことについて警告した。
さらに最近では、2月にFBI、NSA、および国際的なパートナーによって発表された共同勧告で、APT28はハッキングされたユビキティのEdgeRouterを使用して攻撃の検知を回避していると警告している。
彼らは過去にも、ドイツ連邦議会(Deutscher Bundestag)への侵入や、2016年の米国大統領選挙に先立つ民主党議会選挙運動委員会(DCCC)および民主党全国委員会(DNC)へのハッキングと関連していた。
2年後、米国はDNCとDCCCの攻撃への関与でAPT28メンバーを起訴し、欧州連合理事会も2020年10月、ドイツ連邦議会のハッキングでAPT28メンバーを制裁した。
Comments