Microsoft hat offengelegt, dass die russische Cyberspionagegruppe, bekannt als APT28 oder Fancy Bear hat eine Schwachstelle im Windows-Druckspoolerdienst ausgenutzt, der zuvor für das PrintNightmare-Sicherheitsproblem verantwortlich war. Die Gruppe, die der russischen Militäreinheit 26165 der GRU untersteht, hat ein bisher unbekanntes Tool namens GooseEgg eingesetzt, um Privilegien zu erweitern, Anmeldeinformationen zu stehlen und Daten zu exfiltrieren. Die als CVE-2022-38028 identifizierte Schwachstelle wird seit mindestens Juni 2020 von APT28 angegriffen, wobei mögliche Aktivitäten bis April 2019 zurückreichen. Microsoft hat diese Sicherheitslücke in seinen Patch-Tuesday-Updates vom Oktober 2022 behoben, nachdem ein Bericht von APT28 veröffentlicht wurde US-amerikanische Nationale Sicherheitsbehörde.
Die Mechanismen des Angriffs
Der Einsatz von GooseEgg durch APT28 beinhaltet die Ausführung eines Windows-Batch-Skripts mit dem Namen „execute.bat“.’oder’doit.bat’, wodurch dann die ausführbare GooseEgg-Datei gestartet wird. Diese Aktion erleichtert es den Angreifern, über eine geplante Aufgabe namens „servtask.bat“ auf dem kompromittierten System zu bleiben. Darüber hinaus wird GooseEgg verwendet, um eine schädliche DLL, gelegentlich auch als „wayzgoose23.dll“ bezeichnet, mit SYSTEM-Berechtigungen in den PrintSpooler-Dienst einzuschleusen. Diese DLL fungiert als App-Launcher, der in der Lage ist, weitere Payloads mit erhöhten Rechten auszuführen, wodurch es den Angreifern ermöglicht wird, Hintertüren zu installieren, durch die Netzwerke der Opfer zu navigieren und Remote-Code auf den betroffenen Systemen auszuführen.
Historischer Kontext und Implikationen
APT28 blickt auf eine berüchtigte Geschichte hochkarätiger Cyberangriffe zurück. Insbesondere nutzte die Gruppe einen Zero-Day-Router von Cisco aus, um Jaguar Tooth-Malware zu verbreiten, die auf vertrauliche Informationen in den USA und der EU abzielte. Darüber hinaus war APT28 in die Verstöße gegen den Deutschen Bundestag, das Democratic Congressional Campaign Committee (DCCC) und das Democratic National Committee (DNC) im Vorfeld der US-Präsidentschaftswahl 2016 verwickelt. Die USA und der Rat der Europäischen Union haben rechtliche Schritte gegen Mitglieder von APT28 eingeleitet und unterstreichen damit die erhebliche Bedrohung, die diese Gruppe für die globale Cybersicherheit darstellt.
