GooseEgg マルウェア

サイバーセキュリティアナリストは、ロシアの政府支援を受けたハッカーが侵入したネットワーク内で機密性の高い認証情報を入手するために使用する脅威的なツールを発見しました。GooseEggと呼ばれるこのマルウェアは、Windows Print Spoolerサービス内のCVE-2022-38028として特定された脆弱性を悪用し、JavaScript制約ファイルを変更してSYSTEMレベルの権限で実行することで印刷タスクを管理する役割を果たします。アナリストは、GooseEggはロシアの軍事情報機関であるGRUと提携しているAPT28と呼ばれるAPT（Advanced Persistent Threat）グループ専用のようだと指摘しています。

調査結果によると、APT28（別名Fancy Bear、Forest Blizzard）は少なくとも2020年6月からこのマルウェアを展開しており、ウクライナ、西ヨーロッパ、北米の政府機関、NGO、教育機関、交通機関など、さまざまな分野を標的にしている。

GooseEggマルウェアはサイバー犯罪者の攻撃の拡大を可能にする

APT28 は、GooseEgg の展開を通じて、ターゲット システムへの昇格されたアクセスを実現し、認証情報や機密情報を盗むことを目指しています。通常、バッチ スクリプトで展開される GooseEgg は、単純なランチャー アプリケーションであるにもかかわらず、コマンド ラインからのコマンドに従って、昇格された権限で他の指定されたアプリケーションを起動する機能を備えています。これにより、脅威アクターは、リモート コード実行、バックドアのインストール、侵害されたネットワーク内での横方向の移動など、さまざまな後続の目的を追求できます。

GooseEgg バイナリは、エクスプロイトをアクティブ化し、提供されたダイナミック リンク ライブラリ (DLL) または実行可能ファイルを昇格された権限で起動するためのコマンドを容易にします。さらに、「whoami」コマンドを使用して、エクスプロイトが正常にアクティブ化されたことを確認します。

印刷スプーラーのセキュリティ上の欠陥は 2022 年に修正されましたが、これらの修正をまだ実装していないユーザーや組織は、組織のセキュリティ体制を強化するために、速やかに実装することを強くお勧めします。

APT28はサイバー犯罪シーンにおける主要な脅威アクターであり続ける

APT28 は、ロシア連邦の軍事情報機関であるロシア連邦軍参謀本部情報総局 (GRU) の Unit 26165 と関係があると考えられています。クレムリンの支援を受け、15 年近く活動しているこのハッキング グループは、主にロシア政府の外交政策目標を支援するための情報収集に重点を置いています。

過去の攻撃では、APT28 ハッカーは Microsoft Outlook の権限昇格の脆弱性 (CVE-2023-23397) と WinRAR のコード実行の欠陥 (CVE-2023-38831) を悪用し、公開されているエクスプロイトを迅速に攻撃活動に組み込む能力を実証しました。

GRU に所属するハッカーは通常、中東、米国、ヨーロッパの政府機関、エネルギー企業、運輸部門、非政府組織などの戦略的情報資産に注力しています。さらに、研究者は、APT28 がメディア、情報技術企業、スポーツ団体、教育機関を標的にしている事例も確認しています。