Erkennung von Forest Blizzard bzw. Fancy Bear Angriffen: Russisch-unterstützte Hacker setzen ein maßgeschneidertes GooseEgg-Tool ein, um CVE-2022-38028 in Angriffen gegen die Ukraine, Westeuropa und Nordamerika auszunutzen
Inhaltsverzeichnis:
Das berüchtigte Cyber-Spionage-Hacker-Kollektiv, das als Forest Blizzard (auch bekannt als Fancy Bear, STRONTIUM oder APT28) verfolgt, experimentiert mit einem neuartigen benutzerdefinierten Tool namens GooseEgg-Malware, um die kritische CVE-2022-38028-Schwachstelle im Windows Print Spooler zu bewaffnen. Gegner starten mehrere nachrichtendienstliche Angriffe, die sich gegen Organisationen auf der ganzen Welt in verschiedenen Branchen richten. Erfolgreiche Privilegieneskalation und Anmeldeinformationsdiebstahl geben den Angreifern grünes Licht, um RCE durchzuführen, Malware einzusetzen und mit einer weiteren Infektion fortzufahren.
Erkennen Sie den neuesten Cyber-Spionage-Einsatz von Forest Blizzard
Mit exponentiell wachsenden APT-Bedrohungen, die die eskalierenden geopolitischen Spannungen weltweit widerspiegeln, suchen Cyber-Verteidiger nach zuverlässigen Lösungen, um ausgeklügelte Angriffe rechtzeitig zu erkennen. Mehrere russlandgestützte APT-Kollektive sind besonders aktiv und nutzen die Ukraine als Testfeld für neue bösartige TTPs. Zudem werden bewährte Methoden gegen große Ziele von Interesse für die Moskauer Regierung weltweit eingesetzt.
Die neueste Kampagne von Forest Blizzard (auch bekannt als Fancy Bear/APT28) verstärkt diesen Trend nur, da Organisationen in der Ukraine, Westeuropa und Nordamerika angegriffen werden. Die SOC Prime Plattform für kollektive Cyberverteidigung aggregiert eine Reihe kuratierter Sigma-Regeln, um Sicherheitsfachleuten zu helfen, die bösartige Aktivität zu identifizieren, die mit dieser berüchtigten Cyber-Spionage-Operation verbunden ist. Drücken Sie den Detektionsoptionen erkunden Knopf unten und tauchen Sie sofort in eine Reihe relevanter Erkennungen ein.
Alle Regeln sind kompatibel mit 28 SIEM-, EDR- und Data-Lake-Technologien und in das MITRE ATT&CK®-Frameworkeingebettet. Außerdem sind die Erkennungen mit relevanten Bedrohungsinformationen, Angriffstimeline und Metadaten angereichert, um die Bedrohungsermittlung zu erleichtern.
Cybersicherheitsexperten, die auf der Suche nach mehr hochwertigen Erkennungsinhalten zur retrospektiven Analyse von Forest Blizzard TTPs sind, können den Threat Detection Marketplace von SOC Prime mit dem Tag „Forest Blizzard“ durchsuchen oder diesen Link folgen. Unsere Sigma-Regel-Bibliothek enthält Erkennungen im Zusammenhang mit Ausnutzungsversuchen von CVE-2022-38028, die hier.
Forest Blizzard Angriffsanalyse: Einblicke in die Cyber-Spionage-Kampagne, die CVE-2022-38028 ausnutzt
Microsoft Threat Intelligence hat kürzlich Einblicke in die laufende Gegnerkampagne geteilt, die Fancy Bear (aka into the ongoing adversary campaign attributed to Fancy Bear (aka APT28, Forest Blizzard, Pawn Storm, Sofacy Group oder Strontium) zugeschrieben wird, einer vom GRU unterstützten Gruppe, die zur Einheit 26165 der russischen Militärnachrichtendienste gehört. Seit mehr als vier Jahren nutzt Forest Blizzard GooseEgg, ein benutzerdefiniertes Tool aus dem Arsenal der Gegnergruppe, um die bekannte Schwachstelle zur Erhöhung von Privilegien im Windows Print Spooler (CVE-2022-38028) auszunutzen, indem eine JavaScript-Beschränkungsdatei modifiziert und mit SYSTEM-Rechten ausgeführt wird.
Fancy Bear hat Erfahrung darin, bekannte Schwachstellen, insbesondere in Microsoft-Produkten, zu nutzen, um Ziele für seine bösartigen Aktivitäten zu infiltrieren, die sich hauptsächlich auf das Sammeln von Informationen konzentrieren, aber nicht darauf beschränkt sind. Die berüchtigte, russland-verbundene staatlich unterstützte Gruppe hat seit der vollständigen Invasion Russlands kontinuierlich die Ukraine und ihre Verbündeten ins Visier genommen, wie in der Phishing-Kampagne Ende 2023 gegen ukrainische öffentliche Sektororganisationen und mehrere Organisationen in Polen, die von CERT-UA gemeldet wurden.
In der laufenden, langandauernden Kampagne haben Gegner öffentliche und private Sektororganisationen in der Ukraine, Westeuropa und Nordamerika ins Visier genommen. Der Einsatz von GooseEgg ermöglicht es Bedrohungsakteuren, einen erhöhten Zugriff auf die angegriffenen Systeme zu erlangen, sensible Daten zu stehlen und den Angriff weiterzuentwickeln, was zu RCE, Backdoor-Implementierung und seitlichen Bewegungen innerhalb der betroffenen Netzwerke führt.
Forest Blizzard konzentriert sich zielgerichtet auf strategische nachrichtendienstliche Ziele, die es von anderen GRU-zugehörigen Gruppen wie Seashell Blizzard (IRIDIUM) und Cadet Blizzard (DEV-0586) unterscheiden. Während russische Hackinggruppen Schwachstellen, bekannt als PrintNightmare (CVE-2021-34527 und CVE-2021-1675), genutzt haben, erfordert die Offenlegung von GooseEgg im offensiven Toolkit von Forest Blizzard Aufmerksamkeit und ultrareaktive Maßnahmen von den Verteidigern an der Cyberfront.
In der Regel wird GooseEgg zusammen mit einem Batch-Skript eingesetzt, das das entsprechende GooseEgg-Programm auslöst und durch Erstellen eines geplanten Tasks Persistenz herstellt. Die GooseEgg-Binärdatei ermöglicht Befehle zur Aktivierung der Exploitation des Windows Print Spooler-Bugs und löst entweder eine DLL oder ein ausführbares Programm mit erhöhten Rechten aus. Zusätzlich bestätigt sie die erfolgreiche Ausführung des Exploits durch die Nutzung des Befehls „whoami“.
Microsoft hat CVE-2022-38028 im zugehörigen Sicherheitsupdate adressiert, das im Oktober 2022 veröffentlicht wurde, mit einem Dank an die U.S. NSA für die ursprüngliche Meldung der Schwachstelle. Als weitere potenzielle Schritte zur Minderung von CVE-2022-38028 empfehlen Forscher, den Dienst auf Domänencontrollern zu deaktivieren und proaktive Cyber-Verteidigungsstrategien anzuwenden, um das Risiko gegnerischer Eindringlinge zu minimieren.
Mit den zunehmenden Angriffen, die der russland-unterstützten Gruppe Forest Blizzard, auch bekannt als Fancy Bear, zugeschrieben werden und die globalen Organisationen ins Visier nehmen, insbesondere die neuesten laufenden Aktivitäten, die die benutzerdefinierte GooseEgg-Malware einsetzen, bemühen sich Sicherheitsteams darum, ihre Abwehr im großen Stil zu stärken. Durch die Nutzung von Attack Detective, dem fortschrittlichen SaaS für automatisierte Bedrohungsjagd und Erfassungsstapelvalidierung, können Organisationen effektiv blinde Flecken in ihrer Erfassung abdecken, Echtzeiteinblicke in ihre Angriffsfläche erhalten und Sicherheitsverletzungen identifizieren, bevor Angreifer zuschlagen.