Cyberguerre / Attaques contre l’État-nation , Gestion de la fraude et cybercriminalité , Gouvernance et gestion des risques
Microsoft avertit que l’outil GooseEgg d’APT28 permet le vol d’informations d’identification Prajeet Nair (@prajeetspeaks) • 23 avril 2024 Les pirates informatiques russes utilisent une vulnérabilité du spouleur d’impression Windows pour pirater les gouvernements occidentaux. (Image : Shutterstock)
Les pirates du renseignement militaire russe utilisent une vulnérabilité vieille de 18 mois dans l’utilitaire de spouleur d’impression Windows pour déployer un outil personnalisé qui élève les privilèges et vole les informations d’identification.
Voir également: Sécuriser votre main-d’œuvre avec Datto RMM : automatisation des correctifs, du renforcement et des sauvegardes
Microsoft lundi divulgué qu’APT28, également connu sous le nom de Fancy Bear et Forest Blizzard, utilise un nouvel outil de piratage baptisé GooseEgg.
“Bien qu’il s’agisse d’une simple application de lancement, GooseEgg est capable de générer d’autres applications spécifiées sur la ligne de commande avec des autorisations élevées”, a écrit Microsoft. Cela permet aux pirates de la Direction principale du renseignement de l’état-major russe “de prendre en charge tout objectif ultérieur tel que l’exécution de code à distance, l’installation d’une porte dérobée et le déplacement latéral à travers des réseaux compromis”.
Le groupe de piratage d’État russe – sa désignation russe est Unité 26165 du 85e Centre principal des services spéciaux au sein de la direction du renseignement, mieux connu sous le nom de GRU – est à l’origine de nombreuses campagnes de spear phishing contre les autorités ukrainiennes, américaines et britanniques. Il diffère des autres groupes du GRU en se concentrant principalement sur la collecte de renseignements stratégiques plutôt que sur les attaques destructrices.
Microsoft affirme avoir observé des activités post-compromission, notamment le déploiement de GooseEgg, principalement contre des agences gouvernementales ukrainiennes, d’Europe occidentale et d’Amérique du Nord, ainsi que contre des organisations non gouvernementales, des établissements d’enseignement et des organisations du secteur des transports.
Forest Blizzard utilise GooseEgg depuis au moins juin 2020, mais il a trouvé une nouvelle voie vers Windows avec la découverte par la National Security Agency d’une faille permettant aux attaquants d’obtenir des privilèges système et son correctif d’octobre 2022 par Microsoft. Suivi comme CVE-2022-38028la faille permet aux attaquants de modifier un Fichier de contraintes JavaScript et exécutez-le avec des autorisations au niveau du système.
GooseEgg opère furtivement au sein de systèmes compromis. Il se déploie généralement avec des scripts batch, tels que execute.bat ou doit.bat, qui configurent la persistance. Le binaire GooseEgg apparaît avec des noms tels que justice.exe ou DefragmentSrv.exe. Il tire son nom d’un fichier de bibliothèque de liens dynamiques malveillants intégré qui inclut généralement l’expression « wayzgoose » – par exemple wayzgoose23.dll.
Un élément crucial du fonctionnement de GooseEgg est la manipulation du fichier MPDW-constraints.js. Ainsi, lorsque PrintSpooler tente de le charger, le système d’exploitation appelle à la place un répertoire de fichiers contrôlé par l’acteur menaçant.
Forest Blizzard utilise souvent des exploits accessibles au public, tels que CVE-2023-23397une vulnérabilité d’élévation de privilèges de Microsoft Office Outlook.
2024-04-24 00:04:35
1713909254
#Des #pirates #russes #exploitent #vulnérabilité #spouleur #dimpression #Windows