Вредонос GooseEgg распространяется с помощью бреши в Windows Print Spooler

Вероника Дубровская 23 Апреля 2024 - 12:17

Таргетированные атаки

...

Вредонос GooseEgg распространяется с помощью бреши в Windows Print Spooler

Киберпреступная группа Fancy Bear, которую на Западе ассоциируют с Россией, воспользовалась уязвимостью в компоненте службе печати Windows для загрузки в систему ранее неизвестного вредоноса — GooseEgg.

Этот зловред активен с июня 2020 года и использует уже исправленный баг, позволяющий повысить привилегии (CVE-2022-38028, 7,8 баллов по CVSS).

В октябре 2022 компания Microsoft устранила уязвимость в обновлениях.

Согласно информации, полученной от команды киберразведки Microsoft, шпионская группа APT28, также известная как Fancy Bear, использовала этот баг в атаках на украинские, западноевропейские и североамериканские правительственные, неправительственные, образовательные и транспортные организации.

По сообщению компании, хакеры доставили вредоносную программу путем модификации файла ограничений JavaScript и его выполнения с правами уровня SYSTEM.

Несмотря на простенький лончер GooseEgg способен порождать другие приложения, указанные в командной строке, с повышенными правами, что позволяет злоумышленникам развивать свои атаки: удаленно выполнять код, устанавливать бэкдор и перемещаться по скомпрометированным сетям.

В последние месяцы APT28 также использовала уязвимость повышения привилегий в Microsoft Outlook (CVE-2023-23397, CVSS: 9,8) и баг выполнения кода в WinRAR (CVE-2023-38831, CVSS: 7,8), что свидетельствует об их способности быстро внедрять публичные эксплойты в свою работу.

Microsoft заявила, что с помощью GooseEgg злоумышленники хотят получить привилегированный доступ к целевым системам и украсть учетные данные и информацию.

Двоичный файл GooseEgg поддерживает команды для запуска эксплойта и подгрузки либо предоставленной библиотеки динамических связей (DLL), либо исполняемого файла с повышенными правами. С помощью команды whoami он также проверяет, был ли эксплойт успешно активирован.

На атаки с GooseEgg эксперты обратили внимание после того, как IBM X-Force обнаружила новые фишинговые атаки, организованные хакером Gamaredon (он же Aqua Blizzard, Hive0051 и UAC-0010), направленные на Украину и Польшу, которые доставляют новые итерации вредоносной программы GammaLoad.

В начале этого месяца исследователи IBM X-Force рассказали, что злоумышленники ротируют инфраструктуру посредством синхронизированных DNS-флудов по нескольким каналам, включая Telegram, Telegraph и Filetransfer.io., что указывает на потенциальное увеличение ресурсов и возможностей злоумышленника. Это способствует явному ускорению темпа операций.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Читайте также

Минюст США создал важный прецедент

Яков Шпунт 17 Октября 2024 - 20:32

Мошенничество Дипфейк (Deepfake)Онлайн-мошенничество Общее

Американский Минюст возбудил два уголовных дела против авторов порнографических изображений с участием детей, сгенерированных с помощью технологии дипфейк.

Ведомство заявило, что расширит практику привлечения к ответственности изготовителей и распространителей такого рода продукции.

Начальник Отдела по борьбе с киберпреступностью и нарушениями интеллектуальной собственности Министерства юстиции США Джеймс Сильвер заявил корреспонденту агентства «Рейтер», что только двумя данными случаями дело не ограничится.

Он отметил, что его лично и многих его коллег крайне беспокоит нормализация практики использования генеративного искусственного интеллекта для создания порнографических изображений, в том числе с участием детей, и это способствует все большему ее распространению.

«Мы намерены этому противодействовать», — резюмировал Джеймс Сильвер.

Однако первый такой прецедент не развеял опасения юридического сообщества в том, что вынесенные обвинительные приговоры могут быть обжалованы. Суды также не вполне готовы к рассмотрению дел, где обвиняемые использовали искусственный интеллект.

Тем более в США было как минимум два случая, когда распространителям таких изображений удавалось или избежать ответственности, или понести наказание по существенно более легкой статье, не связанной с распространением детской порнографии. Они воспользовались тем, что изображения, которые у них нашли, не относились к кому-то конкретно.

Беспокойство правоохранителей и организаций, занимающихся защитой прав детей также вызывает то, что широкое распространение материалов, сгенерированных искусственным интеллектом, станет своего рода дымовой завесой, за которой будут скрываться факты насилия над реальными детьми и подростками.

Национальный центр по делам пропавших и эксплуатируемых детей фиксирует в среднем около 450 обращений, связанных со сгенерированными искусственным интеллектом изображений с участием детей. Общее же число обращений в эту организацию, как заявила ее юридический консультант Ийота Соурас, превышает 3 миллиона.

Однако Ребекка Портнофф, вице-президент правозащитной организации Thorn, заявила, что не стоит рассматривать данную проблему лишь как дело будущего, иначе она выйдет из-под контроля. И для ее решения нужно действовать по всем направлениям, как влияя на разработчиков систем генерации изображений, так и через правоохранительную систему.