Russische Hacker nutzen Sicherheitslücke im Windows-Druckspooler aus

Hacker des russischen Militärgeheimdienstes nutzen eine 18 Monate alte Sicherheitslücke im Windows-Druckspooler, um ein benutzerdefiniertes Tool einzusetzen, das die Berechtigungen erhöht und Anmeldedaten stiehlt.

Microsoft hat am Montag bekannt gegeben, dass APT28, auch bekannt als Fancy Bear und Forest Blizzard, ein neues Hacking-Tool mit dem Namen GooseEgg verwendet.

GooseEgg ist zwar eine einfache Launcher-Anwendung, kann aber andere Anwendungen, die in der Befehlszeile angegeben werden, mit erweiterten Rechten starten. Dies ermöglicht es den Hackern des russischen Generalstabs des Hauptnachrichtendienstes, weitere Ziele zu verfolgen, wie z. B. die Ausführung von Remote-Code, die Installation einer Hintertür und die seitliche Bewegung durch kompromittierte Netzwerke.

Die staatliche russische Hackergruppe - ihre russische Bezeichnung lautet Einheit 26165 des 85. Hauptdienstes der Geheimdienstdirektion, besser bekannt als GRU - steckt hinter vielen Spearphishing-Kampagnen gegen die Ukraine, die USA und Großbritannien. Sie unterscheidet sich von anderen GRU-Gruppen dadurch, dass sie sich in erster Linie auf das Sammeln strategischer Informationen und nicht auf destruktive Angriffe konzentriert.

Microsoft hat nach eigenen Angaben Aktivitäten nach der Kompromittierung beobachtet, darunter den Einsatz von GooseEgg vor allem gegen ukrainische, westeuropäische und nordamerikanische Regierungsbehörden sowie gegen Nichtregierungsorganisationen, Bildungseinrichtungen und Organisationen des Transportsektors.

Forest Blizzard verwendet GooseEgg seit mindestens Juni 2020, hat aber mit der Entdeckung einer Sicherheitslücke durch die National Security Agency, die es Angreifern ermöglicht, Systemrechte zu erlangen, und deren Patching durch Microsoft im Oktober 2022 einen neuen Weg in Windows gefunden. Die als CVE-2022-38028 verfolgte Schwachstelle ermöglicht es Angreifern, eine JavaScript-Einschränkungsdatei zu ändern und mit Berechtigungen auf Systemebene auszuführen.

GooseEgg arbeitet unbemerkt in kompromittierten Systemen. Es wird in der Regel zusammen mit Batch-Skripten wie execute.bat oder doit.bat ausgeführt, die die Persistenz einrichten. Die GooseEgg-Binärdatei erscheint unter Namen wie justice.exe oder DefragmentSrv.exe. Seinen Namen hat es von einer eingebetteten bösartigen dynamischen Link-Bibliotheksdatei, die typischerweise die Phrase „wayzgoose“ enthält - zum Beispiel wayzgoose23.dll.

Eine entscheidende Komponente der GooseEgg-Operation ist die Manipulation der Datei MPDW-constraints.js, so dass das Betriebssystem, wenn der PrintSpooler versucht, sie zu laden, stattdessen ein vom Bedrohungsakteur kontrolliertes Dateiverzeichnis aufruft.

Forest Blizzard verwendet häufig öffentlich zugängliche Exploits wie CVE-2023-23397, eine Sicherheitslücke in Microsoft Office Outlook, die eine Ausweitung der Berechtigungen ermöglicht.