微軟發現 Windows 作業系統中的一個缺陷正在被俄羅斯森林暴雪駭客積極利用。這些網路犯罪者也被稱為“Fancy Bear”或“APT28”,由俄羅斯情報部門資助。他們基本上是根據莫斯科的命令策劃間諜活動。該團夥已經活躍了大約二十年。
另請閱讀:沙蟲威脅-俄羅斯網路攻擊在全球不斷增加
GooseEgg,森林暴雪武器庫中的新病毒
顯然,駭客已經開始利用名為 CVE-2022-38028 的漏洞微軟的報告顯示,2020 年 6 月,甚至早在 2019 年 4 月。透過利用作業系統中的這項缺陷,駭客成功滲透 IT 基礎架構來竊取敏感資料。毫不奇怪,它們主要針對身份數據,即用戶名和密碼。
為了利用這個漏洞,網路犯罪分子依靠一種名為 GooseEgg 的駭客工具。該惡意軟體用於投放其他惡意軟體後台列印程式或列印後台處理程序,這是一種 Windows 軟體,用於管理從電腦傳送到印表機的所有列印作業。多虧了這個“自訂工具”、森林暴雪可以授予自己系統權限。這並不是PrintSpooler第一次被駭客利用進行網路攻擊。該軟體已在 2010 年針對伊朗核電廠的攻擊中被用於 Stuxnet 病毒。
具體來說,GooseEgg 將從 Windows 終端啟動其他程序,並授予它們更大的存取權限。一旦完成,駭客就可以遠端運行程式碼並不受懲罰地挖掘電腦上儲存的資料。當Windows應用程式以提升的權限運行時,它確實可以自由地存取受保護的檔案。據微軟稱,俄羅斯團夥是唯一在其行動中使用 GooseEgg 的團夥。
“在森林暴風雪行動中使用鵝蛋是一個獨特的發現,以前從未有過報道”,該公司補充道。
2022 年修復了一個漏洞
這家美國出版商聲稱已經根據 Windows 缺陷和 GooseEgg 識別出針對“烏克蘭、西歐和北美的政府、非政府、教育和交通部門組織”。
Microsoft 表示已於 2022 年 10 月透過更新修正了該漏洞。此外,這位雷德蒙巨頭補充道微軟衛士能夠偵測基於 GooseEgg 的網路攻擊。因此,一如既往,我們建議您讓您的電腦保持最新狀態。為了保護自己免受可能的攻擊,安裝 Microsoft 定期提供的更新非常重要。
這遠非俄羅斯網路犯罪分子第一次利用已修補的 Windows 漏洞來策劃攻擊。同樣,駭客有時會劫持微軟開發的工具,以使其用戶的生活更輕鬆。上個月,微軟透露森林暴雪使用「搜尋:」協定部署網路釣魚攻擊。
來源 : 微軟
