GooseEgg-Malware

Cybersicherheitsanalysten haben ein bedrohliches Tool entdeckt, das von vom russischen Staat unterstützten Hackern verwendet wird, um vertrauliche Anmeldeinformationen in kompromittierten Netzwerken zu erhalten. Diese als GooseEgg bezeichnete Malware nutzt eine Sicherheitslücke mit der Bezeichnung CVE-2022-38028 im Windows-Druckspoolerdienst aus, der für die Verwaltung von Druckaufgaben verantwortlich ist, indem er eine JavaScript-Einschränkungsdatei ändert und sie mit Berechtigungen auf SYSTEM-Ebene ausführt. Analysten weisen darauf hin, dass GooseEgg anscheinend ausschließlich einer APT-Gruppe (Advanced Persistent Threat) namens APT28 vorbehalten ist, die dem russischen militärischen Geheimdienst GRU angeschlossen ist.

Den Erkenntnissen zufolge setzt APT28 – auch bekannt als Fancy Bear und Forest Blizzard – diese Schadsoftware mindestens seit Juni 2020 ein und zielt dabei auf verschiedene Sektoren ab, darunter staatliche Institutionen, NGOs, Bildungseinrichtungen und Transportunternehmen in der Ukraine, Westeuropa und Nordamerika.

Die GooseEgg-Malware ermöglicht Cyberkriminellen die Eskalation ihrer Angriffe

APT28 zielt darauf ab, durch den Einsatz von GooseEgg erweiterten Zugriff auf Zielsysteme zu erlangen und Anmeldeinformationen und vertrauliche Informationen zu stehlen. GooseEgg wird normalerweise mit einem Batch-Skript eingesetzt und verfügt, obwohl es sich um eine einfache Startanwendung handelt, über die Fähigkeit, andere angegebene Anwendungen mit erhöhten Berechtigungen zu starten, wie über die Befehlszeile angewiesen. Dies ermöglicht es Bedrohungsakteuren, verschiedene Folgeziele zu verfolgen, darunter Remotecodeausführung, Backdoor-Installation und laterale Bewegung innerhalb kompromittierter Netzwerke.

Die GooseEgg-Binärdatei ermöglicht Befehle zum Aktivieren des Exploits und zum Starten einer bereitgestellten Dynamic Link Library (DLL) oder einer ausführbaren Datei mit erhöhten Rechten. Darüber hinaus überprüft sie die erfolgreiche Aktivierung des Exploits mit dem Befehl „whoami“.

Obwohl die Sicherheitslücke im Druckspooler im Jahr 2022 behoben wurde, wird Benutzern und Organisationen, die diese Korrekturen noch nicht implementiert haben, dringend empfohlen, dies umgehend zu tun, um die Sicherheitslage ihrer Organisation zu stärken.

APT28 bleibt ein wichtiger Bedrohungsakteur in der Cybercrime-Szene

APT28 soll Verbindungen zur Einheit 26165 des russischen Militärgeheimdienstes haben, der Hauptnachrichtendienstabteilung des Generalstabs der Streitkräfte der Russischen Föderation (GRU). Diese seit fast 15 Jahren aktive, vom Kreml unterstützte Hackergruppe konzentriert sich in erster Linie auf das Sammeln von Informationen zur Unterstützung der außenpolitischen Ziele der russischen Regierung.

In früheren Kampagnen haben APT28-Hacker eine Schwachstelle zur Rechteausweitung in Microsoft Outlook (CVE-2023-23397) und einen Codeausführungsfehler in WinRAR (CVE-2023-38831) ausgenutzt und damit ihre Fähigkeit demonstriert, öffentliche Exploits schnell in ihre Operationen zu integrieren.

Die mit dem GRU verbundenen Hacker konzentrieren ihre Bemühungen in der Regel auf strategische Geheimdienstressourcen, darunter Regierungsstellen, Energieunternehmen, Transportsektoren und Nichtregierungsorganisationen im Nahen Osten, den USA und Europa. Darüber hinaus haben Forscher Fälle festgestellt, in denen APT28 auf Medienunternehmen, IT-Unternehmen, Sportorganisationen und Bildungseinrichtungen abzielte.