微软的研究人员表示,他们发现了俄罗斯国家资助的黑客用来窃取受感染网络中凭证的恶意工具。
该恶意软件名为 GooseEgg,利用了管理打印过程的 Windows Print Spooler 服务中标记为CVE-2022-38028的漏洞。研究人员表示, GooseEgg 似乎是其追踪的“森林暴雪”组织所独有的,该组织与俄罗斯军事情报机构 GRU 有关联。
根据该报告,Forest Blizzard(也称为 Fancy Bear 和 APT28)至少自 2020 年 6 月起就一直在针对乌克兰、西欧和北美的国家、非政府、教育和交通组织部署恶意软件。
研究人员表示:“在森林暴雪行动中使用 GooseEgg 是一个独特的发现,安全提供商之前从未报道过。”
微软观察到,在获得对目标设备的访问权限后,Forest Blizzard 使用 GooseEgg 来提升网络内的权限。 GooseEgg 本身是一个简单的启动器应用程序,但它允许攻击者执行其他操作,例如远程执行代码、安装后门以及通过受感染的网络横向移动。
该公司于 2022 年修复了 Print Spooler 安全漏洞。“为了组织的安全,我们敦促尚未实施这些修复的客户尽快实施”,微软表示。
除了 CVE-2022-38028 之外,Forest Blizzard 还利用了其他错误,例如CVE-2023-23397,它影响 Windows 设备上所有版本的 Microsoft Outlook 软件。
12 月初,微软警告称,森林暴雪早在 2022 年 4 月起就一直试图利用 Microsoft Outlook 漏洞对 Microsoft Exchange 服务器内的电子邮件帐户进行未经授权的访问。
GRU 黑客通常以战略情报资产为目标,例如美国、欧洲和中东的政府、能源、交通和非政府组织。
微软还观察到森林暴雪的目标是媒体组织、信息技术公司、体育组织和教育机构。
发表评论
您还未登录,请先登录。
登录