​Microsoft avertit que le groupe de menaces russe APT28 exploite une vulnérabilité de spouleur d’impression Windows pour augmenter les privilèges et voler des informations d’identification et des données à l’aide d’un outil de piratage jusque-là inconnu appelé GooseEgg.

APT28 a conçu cet outil pour cibler la vulnérabilité CVE-2022-38028 signalée par la National Security Agency des États-Unis, que Redmond a corrigée lors du correctif Microsoft d’octobre 2022 mardi (Redmond ne l’a pas encore identifiée comme activement exploitée dans son avis).

Les pirates militaires, qui font partie de l’Unité militaire 26165 de la Principale Direction du renseignement de l’État-major général russe (GRU), utilisent l’outil pour lancer des outils malveillants supplémentaires et exécuter diverses commandes avec des privilèges au niveau du SYSTÈME.

Les attaquants déploient cet outil post-compromission sous la forme d’un script batch Windows nommé « exécuter ».bat ‘ ou ‘ doit.bat, ‘qui lance un exécutable GooseEgg et gagne en persistance sur le système compromis en ajoutant une tâche planifiée qui lance’ servtask.bat, ‘ un deuxième script batch écrit sur le disque.

Ils utilisent également GooseEgg pour déposer un fichier DLL malveillant intégré (dans certains cas surnommé  » wayzgoose23.dll’) dans le contexte du service PrintSpooler avec les autorisations SYSTÈME.

Cette DLL est en fait un lanceur d’applications qui peut exécuter d’autres charges utiles avec des autorisations au niveau du SYSTÈME et permet aux attaquants de déployer des portes dérobées, de se déplacer latéralement sur les réseaux des victimes et d’exécuter du code à distance sur les systèmes violés.

« Microsoft a observé Forest Blizzard utiliser GooseEgg dans le cadre d’activités post-compromis contre des cibles comprenant des organisations gouvernementales, non gouvernementales, éducatives et de transport ukrainiennes, d’Europe occidentale et d’Amérique du Nord », explique Microsoft.

« Bien qu’il s’agisse d’une simple application de lancement, GooseEgg est capable de générer d’autres applications spécifiées sur la ligne de commande avec des autorisations élevées, permettant aux acteurs de la menace de prendre en charge tous les objectifs ultérieurs tels que l’exécution de code à distance, l’installation d’une porte dérobée et le déplacement latéral à travers des réseaux compromis. »

Historique des cyberattaques de grande envergure
APT28 est un important groupe de piratage informatique russe responsable de nombreuses cyberattaques très médiatisées depuis son apparition au milieu des années 2000.

L’année dernière, les services de renseignement américains et britanniques ont mis en garde contre l’exploitation par APT28 d’un routeur Cisco zero-day pour déployer un logiciel malveillant Jaguar Tooth, ce qui lui a permis de collecter des informations sensibles auprès de cibles aux États-Unis et dans l’UE.

Plus récemment, en février, un avis conjoint publié par le FBI, la NSA et des partenaires internationaux a averti qu’APT28 utilisait des routeurs de bordure Ubiquiti piratés pour échapper à la détection dans les attaques.

Ils ont également été liés dans le passé à la violation du Parlement fédéral allemand (Deutscher Bundestag) et aux piratages du Comité de campagne démocrate du Congrès (DCCC) et du Comité National démocrate (DNC) avant l’élection présidentielle américaine de 2016.

Deux ans plus tard, les États-Unis ont inculpé les membres d’APT28 pour leur implication dans les attaques DNC et DCCC, tandis que le Conseil de l’Union européenne a également sanctionné les membres d’APT28 en octobre 2020 pour le piratage du Parlement fédéral allemand.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *