Microsoft: ATP28 эксплуатировала баг в Windows Print Spooler несколько лет - «Новости»

  • 10:30, 25-апр-2024
  • Новости / Преимущества стилей / Ссылки
  • Доминика
  • 0

Компания Microsoft сообщила, что группировка APT28 (она же Fancy Bear, FrozenLake, Fighting Ursa, Forest Blizzard, Pawn Storm,SnakeMackerel, Strontium и так далее) использовала уязвимость CVE-2022-38028 в Windows Print Spooler для повышения привилегий и кражи учетных данных с помощью ранее неизвестного инструмента GooseEgg. Примечательно, что атаки происходили «по крайней мере с июня 2020 года, а возможно, даже с апреля 2019 года», хотя уязвимость исправили только в конце 2022 года.


Уязвимость CVE-2022-38028 была обнаружена Агентством национальной безопасности США в 2022 году, и именно АНБ уведомило Microsoft о проблеме. В итоге уязвимость исправили в октябре 2022 года, но тогда в компании не сообщали, что баг уже используют хакеры. Чтобы обнаружить атаки понадобилось еще несколько лет.


Как сообщается теперь, злоумышленники используют GooseEgg для запуска и развертывания дополнительных полезных нагрузок и выполнения различных команд с привилегиями уровня SYSTEM.


Инструмент применяется уже после компрометации и эксплуатации CVE-2022-38028, посредством batch-скрипта Windows под именем execute.bat или doit.bat. Он запускает исполняемый файл GooseEgg и сохраняется в скомпрометированной системе, добавляя запланированную задачу, запускающую servtask.bat, второй batch-скрипт, сохраненный на диске.





Бинарник принимает четыре команды: для выдачи кастомного кода возврата, запуска эксплоита, запуска DLL или исполняемого файла с повышенными привилегиями, а также для тестирования эксплоита и проверки его срабатывания.


По данным Microsoft, малварь создает ключи реестра для генерации кастомного обработчика протокола и регистрации нового CLSID, который выступает в качестве COM-сервера. Затем символическая ссылка на диск C: заменяется таким образом, чтобы указывать на каталог, контролируемый злоумышленниками, содержащий пакеты драйверов для загрузки службы Print Spooler.





Кроме того, с помощью GooseEgg, в контексте службы PrintSpooler с правами SYSTEM, загружается embedded-DLL, в некоторых случаях называемый wayzgoose23.dll. Эта DLL представляет собой лаунчер для приложений, который может выполнять другие полезные нагрузки с разрешениями уровня SYSTEM и позволяет злоумышленникам устанавливать бэкдоры, перемещаться по сетям жертв и запускать удаленный код на взломанных системах.


«Microsoft наблюдала, как Forest Blizzard использует GooseEgg для постэксплуатации против целей, включая украинские, западноевропейские и североамериканские правительственные, неправительственные, образовательные и транспортные организации, — пишет Microsoft. — Хотя GooseEgg является базовым лаунчером, он способен порождать другие приложения с повышенными привилегиями, что позволяет злоумышленникам достигать дальнейших целей, таких как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям».


В Microsoft призвали клиентов применить патч для уязвимости CVE-2022-38028, выпущенный в 2022 году, а также исправления для серии уязвимостей, известных под общим названием PrintNightmare, устраненных в 2021 году, если они еще этого не сделали. Также компания предлагает отключать Print Spooler на контроллерах домена, поскольку эта служба в любом случае не требуется для их работы.


Компания Microsoft сообщила, что группировка APT28 (она же Fancy Bear, FrozenLake, Fighting Ursa, Forest Blizzard, Pawn Storm,SnakeMackerel, Strontium и так далее) использовала уязвимость CVE-2022-38028 в Windows Print Spooler для повышения привилегий и кражи учетных данных с помощью ранее неизвестного инструмента GooseEgg. Примечательно, что атаки происходили «по крайней мере с июня 2020 года, а возможно, даже с апреля 2019 года», хотя уязвимость исправили только в конце 2022 года. Уязвимость CVE-2022-38028 была обнаружена Агентством национальной безопасности США в 2022 году, и именно АНБ уведомило Microsoft о проблеме. В итоге уязвимость исправили в октябре 2022 года, но тогда в компании не сообщали, что баг уже используют хакеры. Чтобы обнаружить атаки понадобилось еще несколько лет. Как сообщается теперь, злоумышленники используют GooseEgg для запуска и развертывания дополнительных полезных нагрузок и выполнения различных команд с привилегиями уровня SYSTEM. Инструмент применяется уже после компрометации и эксплуатации CVE-2022-38028, посредством batch-скрипта Windows под именем execute.bat или doit.bat. Он запускает исполняемый файл GooseEgg и сохраняется в скомпрометированной системе, добавляя запланированную задачу, запускающую servtask.bat, второй batch-скрипт, сохраненный на диске. Бинарник принимает четыре команды: для выдачи кастомного кода возврата, запуска эксплоита, запуска DLL или исполняемого файла с повышенными привилегиями, а также для тестирования эксплоита и проверки его срабатывания. По данным Microsoft, малварь создает ключи реестра для генерации кастомного обработчика протокола и регистрации нового CLSID, который выступает в качестве COM-сервера. Затем символическая ссылка на диск C: заменяется таким образом, чтобы указывать на каталог, контролируемый злоумышленниками, содержащий пакеты драйверов для загрузки службы Print Spooler. Кроме того, с помощью GooseEgg, в контексте службы PrintSpooler с правами SYSTEM, загружается embedded-DLL, в некоторых случаях называемый wayzgoose23.dll. Эта DLL представляет собой лаунчер для приложений, который может выполнять другие полезные нагрузки с разрешениями уровня SYSTEM и позволяет злоумышленникам устанавливать бэкдоры, перемещаться по сетям жертв и запускать удаленный код на взломанных системах. «Microsoft наблюдала, как Forest Blizzard использует GooseEgg для постэксплуатации против целей, включая украинские, западноевропейские и североамериканские правительственные, неправительственные, образовательные и транспортные организации, — пишет Microsoft. — Хотя GooseEgg является базовым лаунчером, он способен порождать другие приложения с повышенными привилегиями, что позволяет злоумышленникам достигать дальнейших целей, таких как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям». В Microsoft призвали клиентов применить патч для уязвимости CVE-2022-38028, выпущенный в 2022 году, а также исправления для серии уязвимостей, известных под общим названием PrintNightmare, устраненных в 2021 году, если они еще этого не сделали. Также компания предлагает отключать Print Spooler на контроллерах домена, поскольку эта служба в любом случае не требуется для их работы.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!