Russia-Linked Hackers Exploit Windows Zero-Day, Deploy “GooseEgg” to Hijack Networks
2024/04/22 SecurityOnline — ロシア国家が支援するハッキング・グループ “Forest Blizzard” の武器庫にある、洗練された新ツールについて、Microsoft が情報を暴露した。この GooseEgg と名付けられたツールを活用して、侵害したシステムに深くアクセスする攻撃者は、欧米の政府や戦略的組織にとって深刻な脅威をもたらしている。
2019年4月ころから Forest Blizzard は GooseEggを活用し、Windows Print Spoolerサービスに存在する、深刻な脆弱性 CVE-2022-38028 を悪用してきた。
この脆弱性を悪用する攻撃者は、JavaScript の制約ファイルを修正し、SYSTEM レベルの権限で実行することで、不正な権限の昇格を可能にする。GooseEgg はシンプルだが、昇格された特権を持つアプリケーションを生成する能力により、大混乱を引き起こす可能性を持つ。具体的に言うと、リモート・コード実行やバックドア・インストールに加えて、侵害したネットワーク上での横方向の移動などにより、さらなる悪意のアクティビティを促進する。
APT28 や Fancy Bear といった名前も持つ Forest Blizzard は、ロシアの軍事情報機関である GRU に関連するハッキング・グループである。彼らは、米国/欧州/中東の、政府/電力/輸送などの分野をターゲットにして、情報収集活動で悪名を得ている。
Forest Blizzard は、侵害したネットワーク内で持続性を維持するために、一般に利用可能なエクスプロイトに加えて、独自のエクスプロイトを採用している。しかし、最近になって発覚した GooseEgg の使用は、より破壊的なサイバー攻撃を行う他の GRU 関連グループとは、一線を画したものとなる。このツールは、その痕跡を効果的に隠すために欺瞞的な方法を採用する、一連の洗練されたサイバー・オペレーションの一部である。
たとえば、アクセス権を獲得した後に、GooseEgg は “execute.bat” や “doit.bat” などのスクリプトを介して実行され、さらなる永続化メカニズムを設定し、特権の昇格を促進する。GooseEgg に関連するバイナリは、”justice.exe” や “DefragmentSrv.exe” などの無害を装う名前で表示され、些細なアクションを実行するものに見えるが、実際には複雑な悪用プロセスの一部を構成している。
脆弱性 CVE-2022-38028 および PrintNightmare に対するパッチだが、今回の発見を受けた Microsoft により、すでに提供されている。Microsoft が推奨しているのは、これらのセキュリティ更新プログラムを適用するだけではなく、運用に必要のないドメイン・コントローラー上の Print Spooler サービスを無効化し、攻撃対象領域を減らすことである。
脆弱性 CVE-2022-38028 ですが、このブログには該当する記事がありませんでした。お隣のキュレーション・チームに聞いてみたところ、2022年10月の Patch Tuesday で対処された脆弱とのことでした。よろしければ、PrintNightmare で検索と、APT28 で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.