Door het Kremlin gesteunde hackers maken al vier jaar misbruik van een kritieke Microsoft-kwetsbaarheid bij aanvallen gericht op een breed scala aan organisaties met een voorheen ongedocumenteerd hulpmiddel, onthulde de softwaremaker maandag.
Toen Microsoft de kwetsbaarheid in oktober 2022 patchte – minstens twee jaar nadat deze werd aangevallen door Russische hackers – vermeldde het bedrijf niet dat er actief misbruik van werd gemaakt. Op de datum van publicatie heeft de Vennootschap Adviseur Er wordt nog steeds niet gesproken over targeting in het wild. Windows-gebruikers geven vaak prioriteit aan het installeren van patches op basis van de vraag of een kwetsbaarheid waarschijnlijk zal worden misbruikt bij aanvallen in de echte wereld.
Door misbruik te maken van CVE-2022-38028 kunnen aanvallers, terwijl ze de kwetsbaarheid volgen, systeemrechten verwerven, de hoogste rechten die beschikbaar zijn in Windows, in combinatie met een afzonderlijke exploit. Het misbruiken van de kwetsbaarheid, die een ernstscore van 7,8 op 10 heeft, vereist weinig bevoegdheden en weinig complexiteit. Het bevindt zich in de Windows-printspooler, een onderdeel voor printerbeheer dat eerder kritieke nuldagen had. Microsoft zei destijds dat het van de Amerikaanse National Security Agency op de hoogte was gebracht van de kwetsbaarheid.
Microsoft onthulde maandag dat een hackgroep die wordt gevolgd onder de naam Forest Blizzard CVE-2022-38028 exploiteert sinds ten minste juni 2020 – en mogelijk al in april 2019. De bedreigingsgroep – die ook wordt gevolgd onder namen als APT28, heeft is gekoppeld aan Sednit, Sofacy, GRU Unit 26165 en Fancy Bear — door De regeringen van de Verenigde Staten en het Verenigd Koninkrijk Aan eenheid 26165 van het hoofddirectoraat van de inlichtingendienst, een tak van de Russische militaire inlichtingendienst bekend als de GRU. Forest Blizzard richt zich op het verzamelen van informatie door een breed scala aan organisaties te infiltreren, vooral in de Verenigde Staten, Europa en het Midden-Oosten.
Sinds april 2019 maakt Forest Blizzard gebruik van CVE-2022-38028 bij aanvallen die, zodra systeemrechten zijn verkregen, gebruik maken van een voorheen ongedocumenteerde tool die Microsoft GooseEgg noemt. Malware na exploitatie verhoogt de rechten binnen het gecompromitteerde systeem en blijft een eenvoudige interface bieden om extra malware te installeren die ook met systeemrechten worden uitgevoerd. Deze aanvullende malware, die tools bevat om inloggegevens te stelen en zich horizontaal over een gecompromitteerd netwerk te verplaatsen, kan op elk doelwit worden afgestemd.
“Ondanks dat het een eenvoudige startapplicatie is, is GooseEgg in staat om andere specifieke applicaties op de opdrachtregel te plaatsen met verhoogde rechten, waardoor bedreigingsactoren eventuele vervolgdoelen kunnen ondersteunen, zoals het uitvoeren van code op afstand, het installeren van een achterdeur en horizontaal bewegen over netwerken. “Gehackt”, schreven Microsoft-functionarissen.
GooseEgg wordt meestal geïnstalleerd met behulp van een eenvoudig programma Batch-script, dat wordt geïmplementeerd na succesvolle exploitatie van CVE-2022-38028 of een andere kwetsbaarheid, zoals CVE-2023-23397, waarvan een rapport maandag zei dat Forest Blizzard ook misbruik maakte. Het script is verantwoordelijk voor het installeren van het binaire bestand GooseEgg, vaak Justice.exe of DefragmentSrv.exe genoemd, en zorgt er vervolgens voor dat deze worden uitgevoerd telkens wanneer de getroffen machine opnieuw wordt opgestart.
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’