微软发现 Windows 操作系统中的一个缺陷正在被俄罗斯森林暴雪黑客积极利用。这些网络犯罪分子也被称为“Fancy Bear”或“APT28”,由俄罗斯情报部门资助。他们基本上是根据莫斯科的命令策划间谍活动。该团伙已经活跃了大约二十年。
GooseEgg,森林暴雪武器库中的新病毒
显然,黑客已经开始利用名为 CVE-2022-38028 的漏洞微软的报告显示,2020 年 6 月,甚至早在 2019 年 4 月。通过利用操作系统中的这一缺陷,黑客成功渗透 IT 基础设施来窃取敏感数据。毫不奇怪,它们主要针对身份数据,即用户名和密码。
为了利用这一漏洞,网络犯罪分子依靠一种名为 GooseEgg 的黑客工具。该恶意软件用于投放其他恶意软件后台打印程序或打印后台处理程序,这是一种 Windows 软件,用于管理从计算机发送到打印机的所有打印作业。多亏了这个“自定义工具”、森林暴雪可以授予自己系统权限。这并不是PrintSpooler第一次被黑客利用进行网络攻击。该软件已在 2010 年针对伊朗核电站的攻击中被用于 Stuxnet 病毒。
具体来说,GooseEgg 将从 Windows 终端启动其他程序,并授予它们更大的访问权限。一旦完成,黑客就可以远程运行代码并不受惩罚地挖掘计算机上存储的数据。当Windows应用程序以提升的权限运行时,它确实可以自由地访问受保护的文件。据微软称,俄罗斯团伙是唯一在其行动中使用 GooseEgg 的团伙。
“在森林暴风雪行动中使用鹅蛋是一个独特的发现,以前从未有过报道”,该公司补充道。
2022 年修复了一个漏洞
这家美国出版商声称已经根据 Windows 缺陷和 GooseEgg 识别出针对“乌克兰、西欧和北美的政府、非政府、教育和交通部门组织”。
Microsoft 表示已于 2022 年 10 月通过更新纠正了该漏洞。此外,这位雷德蒙德巨头补充道微软卫士能够检测基于 GooseEgg 的网络攻击。因此,一如既往,我们建议您让您的计算机保持最新状态。为了保护自己免受可能的攻击,安装 Microsoft 定期提供的更新非常重要。
这远非俄罗斯网络犯罪分子第一次利用已修补的 Windows 漏洞来策划攻击。同样,黑客有时会劫持微软开发的工具,以使其用户的生活更轻松。上个月,微软透露森林暴雪使用“搜索:”协议部署网络钓鱼攻击。
来源 : 微软
