APT28 primjenjuje GooseEgg u napadima na Windows Print Spooler

AUTOR ·

GooseEgg je novi zlonamjerni softver identifikovan od strane Microsoft Threat Intelligence, a koji je primijenila ozloglašena hakerska grupa APT28 (Forest Blizzard). Ovaj sofisticirani akter prijetnji poznat je po iskorištavanju ranjivosti u različitim sistemima i mrežama da bi dobio povećani pristup i ukrao osjetljive informacije. GooseEgg posebno cilja na nedavno ispravljenu grešku u komponenti Windows Print Spooler.

GooseEgg

APT28 primjenjuje GooseEgg u napadima na Windows Print Spooler; Source: Bing Image Creator

GOOSEEGG

GooseEgg je vrsta zlonamjernog softvera koji koristi hakerska grupa APT28 za postkompromisne aktivnosti protiv različitih meta u istočnoj Evropi, zapadnoj Evropi i Sjevernoj Americi. Primarni metod napada za GooseEgg uključuje iskorištavanje ranjivosti u komponenti Windows Print Spooler, posebno ranjivosti CVE-2022-38028. Ova ranjivost je kritična greška koju je kompanija Microsoft zvanično ispravila u oktobru 2022. godine. Ona omogućava povećane sistemske privilegije i APT28 grupa je iskorištava najmanje od juna 2020. godine, što je čini ranjivošću nultog dana kada je ispravka objavljena. CVSS ocjena za ovu ranjivost je 7,8 od 10.

 

Funkcionisanje

Šema napada koju koristi APT28 grupa za postavljanje GooseEgg zlonamjernog softvera podrazumijeva da oni prvo pristupe ciljnom uređaju. Dobijanje se odvija na različite načine kao što su phishing elektronske poruke, napada vodenih rupa (eng. watering hole attack) ili ranjivosti u ne ažuriranom softveru. Kada dobiju početni pristup, koriste grupnu skriptu pod nazivom “execute[. ]bat” ili “doit[. ]bat” da izvrše eksploataciju.

Ova skripta ispušta izvršnu datoteku GooseEgg, uspostavlja postojanost na mreži i pokreće četiri komande koje omogućavaju napadačima da instaliraju dodatni zlonamjerni softver sa sistemskim privilegijama. DLL datoteka koju koristi ovaj korisni teret naziva se aplikacija pokretača, koja može da izvrši druge korisne sadržaje sa dozvolama na nivou sistema, omogućavajući napadačima da instaliraju backdoor, pomjeraju se bočno kroz mrežu žrtve i daljinski pokreću kôd na kompromitovanim sistemima.

 

APT28

Grupe za napredne trajne prijetnje (eng. advanced persistent threat – APT) su prijetnje za sajber bezbjednost poznate po svojoj sofisticiranosti i postojanosti u digitalnim arenama. Jedna takva grupa je označena kao APT28, a poznat je još i pod nazivima Fancy Bear, Pawn Storm, Sofacy Group, Sednit, Tsar Team i STRONTIUM. Ovaj akter prijetnji je aktivan od otprilike 2008. godine i za njega sigurnosni istraživači kažu da je sponzorisan od strane Rusije, kao i da je povezan sa Glavnom obavještajnom upravom ruskog generalštaba (rus. Главное разведывательное управление – ГРУ), odnosno povezuje se sa vojnom jedinicom 26165.

Operacije APT28 grupe odlikuju se dobro koordinisanim, sporim i prikrivenim napadima koji imaju za cilj postizanje dugoročne Infiltracija u sisteme meta. Njihove taktike, tehnike i procedure (TTP) pokazuju visok nivo složenosti i odlučnosti koji predstavlja značajne izazove za profesionalce u sajber bezbjednosti širom sveta. Usponu grupe se može pripisati nekoliko visokoprofilnih sajber napada. Vjeruje se da je APT28 grupa odgovoran za napade na njemački parlament, norveški parlament, francusku televiziju TV5Monde, Bijelu kuću, NATO, Demokratski nacionalni komitet (DNC), Organizaciju za evropsku bezbjednost i saradnju i kampanju francuskog predsjedničkog kandidata Emanuela Makrona.

APT28 grupa cilja različite sektore, uključujući vladu, odbrambene i vazduhoplovne izvođače, energetske kompanije, medije i ruske disidente. Metode koje koristi APT28 grupa su raznovrsne, ali često uključuju spear-phishing elektronsku poštu sa zlonamjernim prilozima ili vezama koje instaliraju zlonamjerni softver na ciljane sisteme kada se jednom otvore. Grupa takođe koristi napade u kojima kompromituju internet lokacije koje njihovi ciljevi često posjećuju da bi ih zarazili zlonamjernim softverom kada posjete internet lokaciju.

Uprkos naporima bezbjednosnih stručnjaka da ublaže njihov uticaj, APT28 grupa nastavlja da predstavlja prijetnju svojim sofisticiranim tehnikama i odlučnošću.

 

ZAKLJUČAK

Uticaj GooseEgg zlonamjernog softvera na ciljne sisteme i mreže može biti značajan, jer omogućava napadaču da dobije dozvole na nivou sistema, što potencijalno dovodi do krađe podataka, napada uskraćivanja usluge ili drugih oblika štete. Upotreba ovog zlonamjernog softvera od strane grupe APT28 naglašava važnost blagovremene primjene ispravki radi zaštite od poznatih ranjivosti.

 

ZAŠTITA

Da bi se zaštitile od GooseEgg, naprednog zlonamjernog softvera za trajnu prijetnju (APT) koju koristi APT28 grupa, organizacije treba da slede ove preporuke:

  1. Uvjeriti se da su svi sistemi i aplikacije ažurirani najnovijim bezbjednosnim ispravkama. U ovom slučaju, ključno je primijeniti ispravku za CVE-2022-38028 što je pre moguće jer GooseEgg iskorištava ovu ranjivost u usluzi Windows Print Spooler,
  2. Konfigurisati štampače i servere za štampanje uz primjenu jakih bezbjednosnih politika. Ograničiti pristup ovim uređajima samo na ovlaštene korisnike, omogućiti šifrovanje za prenos podataka štampača i onemogućiti nepotrebne funkcije kao što je Remote Admin,
  3. Koristiti listu dozvoljenih aplikacija ili politike ograničenja softvera koje kontrolišu koje aplikacije mogu da rade na korisničkim sistemima. Ovo će pomoći da se spriječi izvršavanje zlonamjernih softvera kao što je GooseEgg,
  4. Omogući kontrolu korisničkog naloga (eng. User Account Control – UAC). Ovo je bezbjednosna funkcija u Windows operativnom sistemu koja pomaže u zaštiti od nenamjernih promjena u sistemu tako što traži potvrdu pre instaliranja softvera ili drugih značajnih modifikacija. Omogućavanje UAC funkcije može pomoći u sprečavanju izvršavanja zlonamjernog softvera, uključujući GooseEgg,
  5. Implementirati segmentaciju mreže, podjelom mreže na manje segmente i primijeniti politike kontrole pristupa između njih. Ovo će ograničiti širenje prijetnji kao što je GooseEgg u slučaju da uspiju da kompromituju sistem ili dobiju neovlašteni pristup,
  6. Redovno nadgledati sisteme, mreže i korisničke naloge za bilo kakvu neuobičajenu aktivnost koja bi mogla da ukaže na potencijalni kompromis. Koristiti bezbjednosne alate kao što su sistemi za otkrivanje upada (eng. intrusion detection systems – IDS), zaštitni zidovi, antivirusni softver i platforme za zaštitu krajnjih tačaka,
  7. Obučavati zaposlene o važnosti najboljih praksi u oblasti sajber bezbjednosti, uključujući jake lozinke, svijest o phishing napadima i navike bezbjednog pregledanja interneta. Ovo će smanjiti vjerovatnoću da postanu žrtve napada socijalnog inženjeringa ili da slučajno preuzmu zlonamjerni softver na korisničke sisteme,
  8. Implementirati autentifikaciju u više koraka (eng. Multi-Factor Authentication – MFA) za sve kritične naloge i aplikacije kao dodatni nivo bezbjednosti. U slučaju da je lozinka ugrožena, napadačima će i dalje biti potreban pristup dodatnom podatku da bi dobili neovlašteni pristup,
  9. Osigurati redovno pravljenje rezervnih kopija podataka i njihovo bezbjedno čuvaju van lokacije ili u oblaku. Ovo će pomoći da se smanji šteta uzrokovana bilo kakvom potencijalnom kompromitacijom korisničkih sistema,
  10. Imati dobro definisan plan odgovora na sajber prijetnju kako bi se brzo odgovorilo na bezbjednosne incidente, uključujući one koji uključuju napredne prijetnje kao što je GooseEgg. Pored toga sprovoditi redovno testiranje i ažuriranje plana kako bi se osigurala njegova efikasnost.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.