Détection d’attaques Forest Blizzard aka Fancy Bear : des hackers soutenus par la Russie utilisent un outil personnalisé GooseEgg pour exploiter la CVE-2022-38028 dans des attaques contre l’Ukraine, l’Europe de l’Ouest et l’Amérique du Nord
Table des matières :
Le collectif de piratage cyber-espionnage malveillant suivi sous le nom de Forest Blizzard (alias Fancy Bear, STRONTIUM, ou APT28) a expérimenté un nouvel outil personnalisé surnommé GooseEgg malware pour exploiter la vulnérabilité critique CVE-2022-38028 dans le Windows Print Spooler. Les adversaires lancent de multiples attaques de collecte de renseignements ciblant des organisations à travers le monde dans divers secteurs industriels. L’escalade de privilèges réussie et le vol d’identifiants donnent aux adversaires le feu vert pour effectuer des RCE, déposer des logiciels malveillants et poursuivre avec d’autres infections.
Détecter la dernière opération de cyber-espionnage Forest Blizzard
Face à la croissance exponentielle des menaces APT qui reflètent l’escalade des tensions géopolitiques à l’échelle mondiale, les défenseurs du cyber cherchent des solutions fiables pour repérer les attaques sophistiquées à temps. Plusieurs collectifs APT soutenus par la Russie sont particulièrement actifs tout en utilisant l’Ukraine comme terrain de test pour de nouvelles TTP malveillantes. En outre, des méthodes éprouvées sont utilisées contre des cibles d’intérêt majeur pour le gouvernement de Moscou dans le monde entier.
La dernière campagne Forest Blizzard (alias Fancy Bear/APT28) ne fait qu’intensifier cette tendance, les organisations en Ukraine, en Europe de l’Ouest et en Amérique du Nord étant attaquées. La plateforme SOC Prime pour la défense cyber collective agrège un ensemble de règles Sigma sélectionnées pour aider les professionnels de la sécurité à identifier l’activité malveillante associée à cette opération de cyber-espionnage notoire. Cliquez sur le Explorer les Détections bouton ci-dessous et accédez immédiatement à un ensemble de détections pertinentes.
Toutes les règles sont compatibles avec 28 technologies SIEM, EDR et Data Lake et mappées au cadre MITRE ATT&CK®. De plus, les détections sont enrichies avec des renseignements sur les menaces pertinents, des chronologies d’attaques et des métadonnées pour faciliter l’enquête sur les menaces.
Les experts en cybersécurité cherchant plus de contenu de détection de haute qualité pour analyser rétroactivement les TTP de Forest Blizzard peuvent parcourir le Marketplace de Threat Detection de SOC Prime en utilisant le tag “Forest Blizzard” ou suivez ce lien. Notre bibliothèque de règles Sigma contient des détections liées aux tentatives d’exploitation de CVE-2022-38028, qui sont disponibles ici.
Analyse de l’Attaque Forest Blizzard : Aperçu de la Campagne de Cyber-Espionnage Abusant de CVE-2022-38028
Microsoft Threat Intelligence a récemment partagé des informations sur la campagne d’adversaires en cours attribuée à Fancy Bear (alias APT28, Forest Blizzard, Pawn Storm, Sofacy Group, ou Strontium), un groupe soutenu par le GRU qui appartient à l’unité 26165 de l’agence de renseignement militaire russe. Pendant plus de quatre ans, Forest Blizzard a utilisé GooseEgg, un outil personnalisé de l’arsenal d’adversaires du groupe, pour exploiter la vulnérabilité d’élévation de privilèges connue dans le Windows Print Spooler (CVE-2022-38028) en modifiant un fichier de contraintes JavaScript et en l’exécutant avec des permissions au niveau SYSTEM.
Fancy Bear a l’habitude d’armer des vulnérabilités bien connues, notamment dans les produits Microsoft, pour infiltrer des cibles pour ses activités malveillantes, principalement centrées sur la collecte de renseignements mais ne s’y limitant pas. Le groupe notoire soutenu par l’État russe vise de manière persistante l’Ukraine et ses alliés depuis l’invasion à grande échelle de la Russie, comme dans la campagne de phishing à la fin de 2023 contre des entités du secteur public ukrainien et plusieurs organisations en Pologne rapportées par le CERT-UA.
Dans cette campagne de longue durée en cours, les adversaires ont ciblé des organisations du secteur public et privé en Ukraine, en Europe de l’Ouest et en Amérique du Nord. L’application de GooseEgg permet aux acteurs de la menace d’obtenir un accès élevé aux systèmes ciblés, de voler des données sensibles et de poursuivre le développement de l’attaque, conduisant à des RCE, des déploiements de portes dérobées et des mouvements latéraux au sein des réseaux impactés.
Forest Blizzard est concentré sur des objectifs stratégiques de renseignement, ce qui le distingue des autres groupes affiliés au GRU, tels que Seashell Blizzard (IRIDIUM) et Cadet Blizzard (DEV-0586). Bien que les groupes de piratage liés à la Russie aient armé des vulnérabilités connues sous le nom de PrintNightmare (CVE-2021-34527 et CVE-2021-1675), la divulgation de GooseEgg dans l’arsenal offensif de Forest Blizzard nécessite une attention et une ultra-réactivité des défenseurs en première ligne cyber.
Généralement, GooseEgg est déployé avec un script batch qui déclenche l’exécutable GooseEgg correspondant et établit une persistance en créant une tâche planifiée. Le binaire GooseEgg facilite les commandes pour activer l’exploitation du bogue Windows Print Spooler et déclencher un DLL ou un exécutable avec des privilèges élevés. De plus, il confirme l’activation réussie de l’exploit en utilisant la commande “whoami”.
Microsoft a traité CVE-2022-38028 dans la mise à jour de sécurité correspondante publiée en octobre 2022, avec un crédit attribué à la NSA des États-Unis pour avoir initialement signalé la faille. En tant qu’étapes potentielles de mitigation de CVE-2022-38028, les chercheurs recommandent de désactiver le service sur les contrôleurs de domaine et d’adopter des stratégies de défense cyber proactive pour minimiser les risques d’intrusions adverses.
Avec l’augmentation des attaques liées au groupe Forest Blizzard soutenu par la Russie alias Fancy Bear ciblant des organisations mondiales, en particulier la dernière activité en cours qui utilise le malware personnalisé GooseEgg, les équipes de sécurité s’efforcent de renforcer leurs défenses à grande échelle. En tirant parti de Attack Detective, la plateforme SaaS avancée pour la chasse aux menaces automatisée et la validation d’empilement de détection, les organisations peuvent identifier efficacement les angles morts dans leur couverture de détection, obtenir une visibilité en temps réel de la surface d’attaque et détecter les violations avant que les adversaires n’aient une chance de frapper.
