Microsoft: ATP28 эксплуатировала баг в Windows Print Spooler несколько лет - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Microsoft: ATP28 эксплуатировала баг в Windows Print Spooler несколько лет - «Новости»

✔Microsoft: ATP28 эксплуатировала баг в Windows Print Spooler несколько лет - «Новости»

25 апреля 2024 507 Новости / Преимущества стилей / Ссылки 0

Компания Microsoft сообщила, что группировка APT28 (она же Fancy Bear, FrozenLake, Fighting Ursa, Forest Blizzard, Pawn Storm,SnakeMackerel, Strontium и так далее) использовала уязвимость CVE-2022-38028 в Windows Print Spooler для повышения привилегий и кражи учетных данных с помощью ранее неизвестного инструмента GooseEgg. Примечательно, что атаки происходили «по крайней мере с июня 2020 года, а возможно, даже с апреля 2019 года», хотя уязвимость исправили только в конце 2022 года.


Уязвимость CVE-2022-38028 была обнаружена Агентством национальной безопасности США в 2022 году, и именно АНБ уведомило Microsoft о проблеме. В итоге уязвимость исправили в октябре 2022 года, но тогда в компании не сообщали, что баг уже используют хакеры. Чтобы обнаружить атаки понадобилось еще несколько лет.


Как сообщается теперь, злоумышленники используют GooseEgg для запуска и развертывания дополнительных полезных нагрузок и выполнения различных команд с привилегиями уровня SYSTEM.


Инструмент применяется уже после компрометации и эксплуатации CVE-2022-38028, посредством batch-скрипта Windows под именем execute.bat или doit.bat. Он запускает исполняемый файл GooseEgg и сохраняется в скомпрометированной системе, добавляя запланированную задачу, запускающую servtask.bat, второй batch-скрипт, сохраненный на диске.





Бинарник принимает четыре команды: для выдачи кастомного кода возврата, запуска эксплоита, запуска DLL или исполняемого файла с повышенными привилегиями, а также для тестирования эксплоита и проверки его срабатывания.


По данным Microsoft, малварь создает ключи реестра для генерации кастомного обработчика протокола и регистрации нового CLSID, который выступает в качестве COM-сервера. Затем символическая ссылка на диск C: заменяется таким образом, чтобы указывать на каталог, контролируемый злоумышленниками, содержащий пакеты драйверов для загрузки службы Print Spooler.





Кроме того, с помощью GooseEgg, в контексте службы PrintSpooler с правами SYSTEM, загружается embedded-DLL, в некоторых случаях называемый wayzgoose23.dll. Эта DLL представляет собой лаунчер для приложений, который может выполнять другие полезные нагрузки с разрешениями уровня SYSTEM и позволяет злоумышленникам устанавливать бэкдоры, перемещаться по сетям жертв и запускать удаленный код на взломанных системах.


«Microsoft наблюдала, как Forest Blizzard использует GooseEgg для постэксплуатации против целей, включая украинские, западноевропейские и североамериканские правительственные, неправительственные, образовательные и транспортные организации, — пишет Microsoft. — Хотя GooseEgg является базовым лаунчером, он способен порождать другие приложения с повышенными привилегиями, что позволяет злоумышленникам достигать дальнейших целей, таких как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям».


В Microsoft призвали клиентов применить патч для уязвимости CVE-2022-38028, выпущенный в 2022 году, а также исправления для серии уязвимостей, известных под общим названием PrintNightmare, устраненных в 2021 году, если они еще этого не сделали. Также компания предлагает отключать Print Spooler на контроллерах домена, поскольку эта служба в любом случае не требуется для их работы.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Microsoft сообщила, что группировка APT28 (она же Fancy Bear, FrozenLake, Fighting Ursa, Forest Blizzard, Pawn Storm,SnakeMackerel, Strontium и так далее) использовала уязвимость CVE-2022-38028 в Windows Print Spooler для повышения привилегий и кражи учетных данных с помощью ранее неизвестного инструмента GooseEgg. Примечательно, что атаки происходили «по крайней мере с июня 2020 года, а возможно, даже с апреля 2019 года», хотя уязвимость исправили только в конце 2022 года. Уязвимость CVE-2022-38028 была обнаружена Агентством национальной безопасности США в 2022 году, и именно АНБ уведомило Microsoft о проблеме. В итоге уязвимость исправили в октябре 2022 года, но тогда в компании не сообщали, что баг уже используют хакеры. Чтобы обнаружить атаки понадобилось еще несколько лет. Как сообщается теперь, злоумышленники используют GooseEgg для запуска и развертывания дополнительных полезных нагрузок и выполнения различных команд с привилегиями уровня SYSTEM. Инструмент применяется уже после компрометации и эксплуатации CVE-2022-38028, посредством batch-скрипта Windows под именем execute.bat или doit.bat. Он запускает исполняемый файл GooseEgg и сохраняется в скомпрометированной системе, добавляя запланированную задачу, запускающую servtask.bat, второй batch-скрипт, сохраненный на диске. Бинарник принимает четыре команды: для выдачи кастомного кода возврата, запуска эксплоита, запуска DLL или исполняемого файла с повышенными привилегиями, а также для тестирования эксплоита и проверки его срабатывания. По данным Microsoft, малварь создает ключи реестра для генерации кастомного обработчика протокола и регистрации нового CLSID, который выступает в качестве COM-сервера. Затем символическая ссылка на диск C: заменяется таким образом, чтобы указывать на каталог, контролируемый злоумышленниками, содержащий пакеты драйверов для загрузки службы Print Spooler. Кроме того, с помощью GooseEgg, в контексте службы PrintSpooler с правами SYSTEM, загружается embedded-DLL, в некоторых случаях называемый wayzgoose23.dll. Эта DLL представляет собой лаунчер для приложений, который может выполнять другие полезные нагрузки с разрешениями уровня SYSTEM и позволяет злоумышленникам устанавливать бэкдоры, перемещаться по сетям жертв и запускать удаленный код на взломанных системах. «Microsoft наблюдала, как Forest Blizzard использует GooseEgg для постэксплуатации против целей, включая украинские, западноевропейские и североамериканские правительственные, неправительственные, образовательные и транспортные организации, — пишет Microsoft. — Хотя GooseEgg является базовым лаунчером, он способен порождать другие приложения с повышенными привилегиями, что позволяет злоумышленникам достигать дальнейших целей, таких как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям». В Microsoft призвали клиентов применить патч для уязвимости CVE-2022-38028, выпущенный в 2022 году, а также исправления для серии уязвимостей, известных под общим названием PrintNightmare, устраненных в 2021 году, если они еще этого не сделали. Также компания предлагает отключать Print Spooler на контроллерах домена, поскольку эта служба в любом случае не требуется для их работы.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: