Logiciel malveillant GooseEgg

Les analystes de la cybersécurité ont découvert un outil menaçant utilisé par des pirates informatiques soutenus par l'État russe pour obtenir des informations d'identification sensibles au sein de réseaux compromis. Surnommé GooseEgg, ce malware exploite une vulnérabilité identifiée comme CVE-2022-38028 au sein du service Windows Print Spooler, chargé de gérer les tâches d'impression en modifiant un fichier de contraintes JavaScript et en l'exécutant avec des autorisations de niveau SYSTÈME. Les analystes notent que GooseEgg semble être exclusif à un groupe APT (Advanced Persistent Threat) connu sous le nom d' APT28 , affilié à la branche de renseignement militaire russe, le GRU.

Selon les résultats, APT28, également connu sous le nom de Fancy Bear et Forest Blizzard, déploie ce malware depuis au moins juin 2020, ciblant divers secteurs, notamment les institutions publiques, les ONG, les établissements d'enseignement et les entités de transport en Ukraine, en Europe occidentale et du Nord. Amérique.

Le logiciel malveillant GooseEgg permet aux cybercriminels d'intensifier leur attaque

APT28 vise à obtenir un accès élevé aux systèmes cibles et à voler des informations d'identification et des informations sensibles grâce au déploiement de GooseEgg. Généralement déployé avec un script batch, GooseEgg, bien qu'il s'agisse d'une simple application de lancement, possède la capacité de lancer d'autres applications spécifiées avec des autorisations élevées, comme commandé via la ligne de commande. Cela permet aux acteurs malveillants de poursuivre divers objectifs ultérieurs, notamment l’exécution de code à distance, l’installation de portes dérobées et les déplacements latéraux au sein de réseaux compromis.

Le binaire GooseEgg facilite les commandes pour activer l'exploit et lancer soit une bibliothèque de liens dynamiques (DLL) fournie, soit un exécutable avec des privilèges élevés. De plus, il vérifie l'activation réussie de l'exploit à l'aide de la commande « whoami ».

Bien que la faille de sécurité du Print Spooler ait été corrigée en 2022, il est fortement conseillé aux utilisateurs et aux organisations qui n'ont pas encore mis en œuvre ces correctifs de le faire rapidement afin de renforcer la sécurité de leur organisation.

APT28 reste un acteur clé des menaces sur la scène de la cybercriminalité

APT28 aurait des liens avec l'unité 26165 de l'agence de renseignement militaire de la Fédération de Russie, la Direction principale du renseignement de l'état-major général des forces armées de la Fédération de Russie (GRU). En activité depuis près de 15 ans, ce groupe de hackers, soutenu par le Kremlin, se concentre principalement sur la collecte de renseignements pour soutenir les objectifs de politique étrangère du gouvernement russe.

Lors de campagnes précédentes, les pirates APT28 ont exploité une vulnérabilité d'élévation de privilèges dans Microsoft Outlook (CVE-2023-23397) et une faille d'exécution de code dans WinRAR (CVE-2023-38831), démontrant ainsi leur capacité à intégrer rapidement des exploits publics dans leurs opérations.

Les pirates informatiques affiliés au GRU concentrent généralement leurs efforts sur les ressources de renseignement stratégique, notamment les entités gouvernementales, les entreprises énergétiques, les secteurs des transports et les organisations non gouvernementales au Moyen-Orient, aux États-Unis et en Europe. De plus, les chercheurs ont noté des cas où APT28 ciblait les médias, les entreprises de technologie de l’information, les organisations sportives et les établissements d’enseignement.