露APT28のマルウェア「GooseEgg」が見つかる - 2019年4月よりゼロデイ攻撃を展開か
別名「APT28」「Fancy Bear」などとしても追跡されている攻撃グループ「Forest Blizzard」が、早ければ2019年4月よりマルウェア「GooseEgg」を用いて脆弱性「CVE-2022-38028」を悪用していたことがわかった。
同グループは、おもにロシア政府の外交政策を支援するための諜報活動を展開。ロシア連邦軍参謀本部情報総局(GRU)の第26165部隊と関連すると見られており、別名「APT28」「Fancy Bear」「Sofacy」「Sednit」「STRONTIUM」「GRU Unit 26165」としても追跡されている。
マイクロソフトは、同グループがマルウェア「GooseEgg」を、早ければ2019年4月以降、遅くとも2020年6月より展開しており、脆弱性「CVE-2022-38028」を長期間にわたり悪用しているとの調査結果を明らかにした。
「CVE-2022-38028」は、「Windows印刷スプーラー」に明らかとなった権限昇格の脆弱性。「GooseEgg」では「SYSTEMレベル」権限を取得し、コマンドラインから他アプリケーションを起動する。
バックドアのインストールやラテラルムーブメントを支援し、ネットワークにおける資格情報の窃取などに悪用されていることがあらたに判明した。同グループは「CVE-2023-23397」なども悪用しているという。
ウクライナをはじめとするヨーロッパ、北米、中東の政府はもちろん、エネルギー、情報、物流、教育、メディア、非政府組織などが攻撃のターゲットとなっていた。
(Security NEXT - 2024/04/24 )
ツイート
関連リンク
PR
関連記事
「Chrome」にセキュリティアップデート - 脆弱性3件を解消
早急に「PAN-OS」の更新を - 複数脆弱性の連鎖攻撃が発生
米当局、複数ベンダー製ファイアウォールの脆弱性悪用に注意喚起
「PAN-OS」に複数の脆弱性 - アップデートで修正
農林業センサスの対象候補リストを紛失、「かたり調査」に注意喚起 - 豊見城市
イベント案内メールで誤送信、メアド流出 - 洗足学園音大
学内向けクラウドで学生情報が閲覧可能に、権限設定ミスで - 京都府立大
個人情報含む廃棄書類が強風で飛散、一部紛失 - 宮城県
VPN経由でランサム被害 - 産業機械開発設計会社
「PostgreSQL」にSQLi脆弱性が判明 - 修正版を公開