Microsoft: ATP28 эксплуатировала баг в Windows Print Spooler несколько лет - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Microsoft: ATP28 эксплуатировала баг в Windows Print Spooler несколько лет - «Новости»

Компания Microsoft сообщила, что группировка APT28 (она же Fancy Bear, FrozenLake, Fighting Ursa, Forest Blizzard, Pawn Storm,SnakeMackerel, Strontium и так далее) использовала уязвимость CVE-2022-38028 в Windows Print Spooler для повышения привилегий и кражи учетных данных с помощью ранее неизвестного инструмента GooseEgg. Примечательно, что атаки происходили «по крайней мере с июня 2020 года, а возможно, даже с апреля 2019 года», хотя уязвимость исправили только в конце 2022 года.


Уязвимость CVE-2022-38028 была обнаружена Агентством национальной безопасности США в 2022 году, и именно АНБ уведомило Microsoft о проблеме. В итоге уязвимость исправили в октябре 2022 года, но тогда в компании не сообщали, что баг уже используют хакеры. Чтобы обнаружить атаки понадобилось еще несколько лет.


Как сообщается теперь, злоумышленники используют GooseEgg для запуска и развертывания дополнительных полезных нагрузок и выполнения различных команд с привилегиями уровня SYSTEM.


Инструмент применяется уже после компрометации и эксплуатации CVE-2022-38028, посредством batch-скрипта Windows под именем execute.bat или doit.bat. Он запускает исполняемый файл GooseEgg и сохраняется в скомпрометированной системе, добавляя запланированную задачу, запускающую servtask.bat, второй batch-скрипт, сохраненный на диске.





Бинарник принимает четыре команды: для выдачи кастомного кода возврата, запуска эксплоита, запуска DLL или исполняемого файла с повышенными привилегиями, а также для тестирования эксплоита и проверки его срабатывания.


По данным Microsoft, малварь создает ключи реестра для генерации кастомного обработчика протокола и регистрации нового CLSID, который выступает в качестве COM-сервера. Затем символическая ссылка на диск C: заменяется таким образом, чтобы указывать на каталог, контролируемый злоумышленниками, содержащий пакеты драйверов для загрузки службы Print Spooler.





Кроме того, с помощью GooseEgg, в контексте службы PrintSpooler с правами SYSTEM, загружается embedded-DLL, в некоторых случаях называемый wayzgoose23.dll. Эта DLL представляет собой лаунчер для приложений, который может выполнять другие полезные нагрузки с разрешениями уровня SYSTEM и позволяет злоумышленникам устанавливать бэкдоры, перемещаться по сетям жертв и запускать удаленный код на взломанных системах.


«Microsoft наблюдала, как Forest Blizzard использует GooseEgg для постэксплуатации против целей, включая украинские, западноевропейские и североамериканские правительственные, неправительственные, образовательные и транспортные организации, — пишет Microsoft. — Хотя GooseEgg является базовым лаунчером, он способен порождать другие приложения с повышенными привилегиями, что позволяет злоумышленникам достигать дальнейших целей, таких как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям».


В Microsoft призвали клиентов применить патч для уязвимости CVE-2022-38028, выпущенный в 2022 году, а также исправления для серии уязвимостей, известных под общим названием PrintNightmare, устраненных в 2021 году, если они еще этого не сделали. Также компания предлагает отключать Print Spooler на контроллерах домена, поскольку эта служба в любом случае не требуется для их работы.


Компания Microsoft сообщила, что группировка APT28 (она же Fancy Bear, FrozenLake, Fighting Ursa, Forest Blizzard, Pawn Storm,SnakeMackerel, Strontium и так далее) использовала уязвимость CVE-2022-38028 в Windows Print Spooler для повышения привилегий и кражи учетных данных с помощью ранее неизвестного инструмента GooseEgg. Примечательно, что атаки происходили «по крайней мере с июня 2020 года, а возможно, даже с апреля 2019 года», хотя уязвимость исправили только в конце 2022 года. Уязвимость CVE-2022-38028 была обнаружена Агентством национальной безопасности США в 2022 году, и именно АНБ уведомило Microsoft о проблеме. В итоге уязвимость исправили в октябре 2022 года, но тогда в компании не сообщали, что баг уже используют хакеры. Чтобы обнаружить атаки понадобилось еще несколько лет. Как сообщается теперь, злоумышленники используют GooseEgg для запуска и развертывания дополнительных полезных нагрузок и выполнения различных команд с привилегиями уровня SYSTEM. Инструмент применяется уже после компрометации и эксплуатации CVE-2022-38028, посредством batch-скрипта Windows под именем execute.bat или doit.bat. Он запускает исполняемый файл GooseEgg и сохраняется в скомпрометированной системе, добавляя запланированную задачу, запускающую servtask.bat, второй batch-скрипт, сохраненный на диске. Бинарник принимает четыре команды: для выдачи кастомного кода возврата, запуска эксплоита, запуска DLL или исполняемого файла с повышенными привилегиями, а также для тестирования эксплоита и проверки его срабатывания. По данным Microsoft, малварь создает ключи реестра для генерации кастомного обработчика протокола и регистрации нового CLSID, который выступает в качестве COM-сервера. Затем символическая ссылка на диск C: заменяется таким образом, чтобы указывать на каталог, контролируемый злоумышленниками, содержащий пакеты драйверов для загрузки службы Print Spooler. Кроме того, с помощью GooseEgg, в контексте службы PrintSpooler с правами SYSTEM, загружается embedded-DLL, в некоторых случаях называемый wayzgoose23.dll. Эта DLL представляет собой лаунчер для приложений, который может выполнять другие полезные нагрузки с разрешениями уровня SYSTEM и позволяет злоумышленникам устанавливать бэкдоры, перемещаться по сетям жертв и запускать удаленный код на взломанных системах. «Microsoft наблюдала, как Forest Blizzard использует GooseEgg для постэксплуатации против целей, включая украинские, западноевропейские и североамериканские правительственные, неправительственные, образовательные и транспортные организации, — пишет Microsoft. — Хотя GooseEgg является базовым лаунчером, он способен порождать другие приложения с повышенными привилегиями, что позволяет злоумышленникам достигать дальнейших целей, таких как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям». В Microsoft призвали клиентов применить патч для уязвимости CVE-2022-38028, выпущенный в 2022 году, а также исправления для серии уязвимостей, известных под общим названием PrintNightmare, устраненных в 2021 году, если они еще этого не сделали. Также компания предлагает отключать Print Spooler на контроллерах домена, поскольку эта служба в любом случае не требуется для их работы.
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: