Microsoft popravlja zlorabo, ki jo uporabljajo ruski akterji groženj

Objavljeno dne: April 25, 2024

Tehnološki velikan Microsoft je nedavno odpravil ranljivost v svoji programski opremi Windows, ki so jo izkoriščali ruski hekerji. Akterji groženj odgovarjajo na več imen skupin, vključno z APT 28, Forrest Blizzard in Fancy Bear.

Običajno je skupina znana po izvajanju različnih napadov lažnega predstavljanja in lažnega predstavljanja v različnih podjetjih po vsem svetu. Več raziskovalcev v skupini je ugotovilo, da izvajajo napade, ki koristijo ruski državi, zaradi česar so mnogi sklepali, da gre za pravo hekersko skupino, ki jo sponzorira država.

Izkoristili so storitev Windows Printer Spooler, da so si podelili skrbniške pravice in ukradli ogrožene podatke iz Microsoftovega omrežja. Operacija je vključevala uporabo GooseEgg, na novo ugotovljenega zlonamernega orodja APT 28, prilagojenega operaciji.

V preteklosti je skupina ustvarila druga hekerska orodja, kot so X-Tunnel, XAgent, Foozer in DownRange. Skupina ta orodja uporablja za napade in prodajo opreme drugim kriminalcem. To je znano kot model zlonamerne programske opreme kot storitve.

Ranljivost, imenovana CVE-2022-38028, več let ni bila odkrita, kar je tem hekerjem omogočilo veliko priložnosti za zbiranje občutljivih podatkov iz sistema Windows.

APT 28 "uporablja GooseEgg kot del pokompromisnih dejavnosti proti tarčam, vključno z ukrajinskimi, zahodnoevropskimi in severnoameriškimi vladnimi, nevladnimi organizacijami, organizacijami v izobraževalnem in transportnem sektorju," pojasnjuje Microsoft.

Hekerji "sledijo ciljem, kot so oddaljeno izvajanje kode, namestitev stranskih vrat in bočno premikanje skozi ogrožena omrežja."

Po odkritju CVE-2022-38028 je spregovorilo več strokovnjakov za kibernetsko varnost in izrazilo zaskrbljenost glede industrije.

»Varnostne ekipe so postale neverjetno učinkovite pri prepoznavanju in saniranju CVE-jev, vendar vse bolj te okoljske ranljivosti – v tem primeru znotraj storitve Windows Print Spooler, ki upravlja procese tiskanja – ustvarjajo varnostne vrzeli, ki zlonamernim akterjem omogočajo dostop do podatkov,« piše Greg Fitzgerald , soustanovitelj podjetja Sevco Security.

Microsoft je popravil varnostni izkoriščanje, vendar potencialna škoda zaradi te večletne kršitve ni znana in hekerska skupina je še vedno na prostosti.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/