러시아의 APT28 해커, 윈도우 결함을 악용해 'GooseEgg' 악성코드 배포

Microsoft는 최근 러시아 위협 그룹 "APT28"이 이전에 알려지지 않은 해킹 도구인 "GooseEgg"를 사용하여 Windows 인쇄 스풀러 취약점을 악용하여 대상 시스템에 대한 향상된 액세스 권한을 얻고 자격 증명과 정보를 훔쳤다고 밝혔습니다.

 

Redmond 거대 기업의 위협 인텔리전스 팀에 따르면 Fancy Bear 및 Forest Blizzard(이전 Strontium)라고도 불리는 APT28은 CVE-2022를 악용하기 위해 최소 2020년 6월부터 빠르면 2019년 4월부터 침해 후 도구를 사용해 왔습니다. 38028(CVSS 점수: 7.8) Windows 인쇄 스풀러 서비스의 취약점입니다.

 

 

이 도구는 JavaScript 제약 조건 파일을 수정하고 시스템 수준 권한으로 실행합니다.

회사는 Microsoft의 2022년 10월 패치 화요일 보안 업데이트의 일부로 미국 국가안보국(NSA)이 보고한 취약점 CVE-2022-38028을 해결했지만 권고 에서는 이 결함에 대해 언급하지 않았습니다

 

Microsoft는 APT28이 우크라이나, 서유럽 및 북미의 정부, 비정부, 교육 및 운송 부문 조직을 포함한 다양한 대상에 대한 침해 후 활동의 일환으로 GooseEgg를 사용하는 것을 관찰했습니다.

 

 

GooseEgg는 간단한 실행 프로그램이지만 높은 권한을 사용하여 명령줄에서 다른 응용 프로그램을 생성할 수 있습니다.

이를 통해 위협 행위자는 원격 코드 실행, 백도어 설치, 손상된 네트워크를 통한 측면 이동과 같은 악의적인 활동을 지원할 수 있습니다.

미국과 영국 정부는 포레스트 블리자드를 러시아 연방군 정보국(GRU)의 주요 정보국인 러시아 연방 군사 정보국의 26165부대와 연결시켰습니다.

 

“Microsoft는 Forest Blizzard가 대상 장치에 대한 액세스 권한을 얻은 후 GooseEgg를 사용하여 환경 내에서 권한을 높이는 것을 관찰했습니다. GooseEgg는 일반적으로 배치 스크립트를 사용하여 배포되며, Execution.bat 및 doit.bat 라는 이름을 사용하여 관찰했습니다.

이 배치 스크립트는 레지스트리 하이브를 저장/압축하기 위한 명령이 포함된 servtask.bat 파일을 작성합니다 배치 스크립트는 짝을 이루는 GooseEgg 실행 파일을 호출하고 servtask.bat를 실행하도록 설계된 예약된 작업으로 지속성을 설정합니다”

 

라고 월요일에 Microsoft가 게시한 권고를 읽습니다.

 

300x250

 

Microsoft 연구원들은 일반적으로 " wayzgoose"라는 문구가 포함된 내장된 악성 DLL 파일에 주목했습니다 예를 들어 wayzgoose23.dll 은 위협 행위자가 시스템 수준 권한으로 다른 페이로드를 실행하고, 백도어를 설치하고, 피해자의 네트워크를 통해 측면으로 이동하고, 침해된 시스템에서 원격으로 코드를 실행하는 데 사용하는 실행 프로그램 애플리케이션입니다.

 

앞서 언급했듯이 회사는 2022년에 Print Spooler 보안 결함을 패치했습니다. 또한 이전에 악용된 PrintNightmare 취약점도 2021년에 패치했습니다.

 

마이크로소프트는 권고문에서 “아직 이러한 수정 사항을 구현하지 않은 고객은 조직의 보안을 위해 가능한 한 빨리 이를 구현하는 것이 좋습니다.”라고 밝혔습니다.

또한 회사에서는 도메인 컨트롤러 작업에 필요하지 않은 도메인 컨트롤러에서 인쇄 스풀러 서비스를 비활성화할 것을 권장합니다.

 

*참조한 원본 글: https://www.techworm.net/2024/04/russia-apt28-hackers-exploit-windows-flaw.html

 

내 컴퓨터를 즉시 보안 점검하기 위한 8가지 무료 온라인 바이러스 스캔 도구