悪名高いロシアのAPTグループが、Windows Print Spoolerの脆弱性を悪用し、さらに「GooseEgg」として知られる新しい侵害後ツールを使用して、長年にわたり認証情報を窃取してきたことが明らかになったと、Microsoftが発表した。
APT28(別名Strontium、Forest Blizzard)は、遅くとも2019年4月頃までさかのぼる可能性がある時期からGooseEggを使用し、CVE-2022-38028を悪用してきたと、Microsoftは昨日公開した新しいレポートで述べた。
CVE-2022-38028はNSAによってMicrosoftに報告され、2022年10月に修正された。GooseEggはJavaScriptの制約ファイルを改変し、それをシステムレベルの権限で実行するために用いられ、脅威アクターが標的ネットワークから認証情報や情報を窃取できるようにする。
レポートは、「GooseEggは単純なランチャーアプリケーションである一方、コマンドラインで指定された他のアプリケーションを昇格した権限で起動でき、脅威アクターがリモートコード実行、バックドアのインストール、侵害されたネットワーク内での水平移動など、その後のあらゆる目的を支援できる」と指摘している。
APT28について詳しく読む:ロシアのAPT28がOutlookの脆弱性を悪用しExchangeにアクセス
APT28は、英国および米国の情報機関により、ロシア参謀本部情報総局(GRU)との関連が指摘されており、破壊的攻撃よりもサイバー諜報活動に主に焦点を当てている。
Microsoftによれば、このキャンペーンにおける標的には、ウクライナ、西欧、北米の政府機関、非政府組織、教育機関、運輸部門の組織が含まれる。
「ロシアの脅威アクターがPrintNightmare(CVE-2021-34527およびCVE-2021-1675)として知られる同種の脆弱性群を悪用してきたことは知られているが、Forest Blizzardの作戦でGooseEggが使用されていることは、セキュリティベンダーによってこれまで報告されていなかった独自の発見である」と、レポートは主張している。
システム管理者には、CVE-2022-38028にパッチを適用すること、および/またはドメインコントローラー上でPrint Spoolerを無効化することが強く推奨されている。また、GooseEggを検知するためにEDRまたはXDRツールを実行することも提案している。Microsoft Defender AntivirusはこれをHackTool:Win64/GooseEggとして検知する。
レポートは、GooseEggに関連するAPT28のTTPやインフラはいつでも変更される可能性があると警告した。
翻訳元: https://www.infosecurity-magazine.com/news/russian-apt28-gooseegg-hacking/
