受到俄羅斯軍情單位GRU指使的駭客組織APT28(也被稱做Forest Blizzard、Strontium),自烏克蘭戰爭開打之後,屢屢配合該國軍事行動發動攻擊,最近1年多更將攻擊範圍延伸到資助烏克蘭的西方國家,但這些駭客的攻擊行動為何難以察覺?有研究人員認為,很有可能與他們使用的惡意程式載入工具有關。
微軟針對俄羅斯駭客組織APT28的攻擊手法進行分析,指出對方從2019年4月開始,利用名為GooseEgg的工具,該工具執行後會竄改JavaScript約束(constraints)檔案,並以系統層級運作,然後觸發Windows列印多工緩衝處理器(Print Spooler)服務漏洞CVE-2022-38028(CVSS風險評分為7.8)。
研究人員看到這些駭客運用該工具的攻擊範圍相當廣泛,涵蓋烏克蘭、西歐、北美的政府機關、非政府組織、教育單位、交通運輸單位。
雖然GooseEgg的功能相當單純,主要是用來載入應用程式,但攻擊者能將其用於提升權限,而能以獲得的高權限執行其他應用程式,從而遠端執行程式碼、部署後門程式,以及在網路環境中進行橫向移動。
而對於攻擊者植入惡意程式的方法,APT28通常使用批次檔部署GooseEgg,該批次檔執行過程會建立另一個批次檔servtask.bat,以便存放相關配置,並讓GooseEgg能持續於受害電腦運作。
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-12-20
Advertisement