Die von Russland unterstützte Bedrohungsakteurin APT28, auch bekannt als Fancy Bear oder Forest Blizzard, nutzte eine Schwachstelle im Microsoft Windows Print Spooler, um eine bisher unbekannte Schadsoftware namens GooseEgg zu verbreiten. Diese Malware, die seit Juni 2020 und möglicherweise bereits seit April 2019 im Einsatz ist, nutzte eine mittlerweile gepatchte Sicherheitslücke aus, die es erlaubte, Benutzerrechte zu erhöhen (CVE-2022-38028, CVSS-Score: 7.8).
Microsoft hat diesen Fehler im Oktober 2022 behoben, nachdem die US-amerikanische National Security Agency (NSA) ihn gemeldet hatte. APT28 setzte diesen Bug gezielt in Angriffen auf Organisationen in der Ukraine, Westeuropa und Nordamerika ein, darunter Regierungsbehörden, Nichtregierungsorganisationen sowie Bildungs- und Verkehrseinrichtungen.
Einsatz von GooseEgg durch Forest Blizzard
GooseEgg diente als einfache Starteranwendung, die andere Anwendungen mit erhöhten Berechtigungen starten konnte. Dies ermöglichte den Angreifern, weitere Aktionen wie Fernausführungen von Code, das Installieren von Backdoors und das Durchführen von lateralen Bewegungen in kompromittierten Netzwerken zu unterstützen.
Forest Blizzard wird der Einheit 26165 des russischen militärischen Nachrichtendienstes GRU zugeordnet. Die Gruppe ist seit fast 15 Jahren aktiv und fokussiert sich hauptsächlich auf die Sammlung von Aufklärungsinformationen, um die außenpolitischen Initiativen der russischen Regierung zu unterstützen.
Weitere Exploits und Angriffsmethoden von APT28
In den letzten Monaten haben die Hacker auch eine Privilegienerhöhungsschwachstelle in Microsoft Outlook (CVE-2023-23397, CVSS-Score: 9.8) und eine Code-Ausführungsschwachstelle in WinRAR (CVE-2023-38831, CVSS-Score: 7.8) ausgenutzt, was ihre Fähigkeit zeigt, schnell öffentliche Exploits in ihr Vorgehen zu integrieren.
Das primäre Ziel von Forest Blizzard beim Einsatz von GooseEgg ist es, erhöhten Zugriff auf Zielsysteme zu erlangen und Anmeldeinformationen sowie Informationen zu stehlen. GooseEgg wird typischerweise zusammen mit einem Batch-Skript eingesetzt.
Warnung und Empfehlungen
Die Offenlegung dieses Vorfalls ist eine weitere Erinnerung an die Notwendigkeit, Systeme regelmäßig zu aktualisieren und auf neue Bedrohungen vorbereitet zu sein. Organisationen sind aufgefordert, ihre Sicherheitsmaßnahmen kontinuierlich zu überprüfen und zu verstärken, um sich gegen solch ausgeklügelte Angriffe zu schützen.