Microsoft Threat Intelligence チームの研究者は、国家に雇われたロシアのハッカー容疑者によってWindows で引き起こされる新たな脅威を発見しました。これを行うために、彼らはカスタム ツールを使用して認証情報を盗み、さらにはシステムにバックドアをインストールしました。
ハッカーたちは自分たちをAPT28またはFancy Bearと名乗っていますが、Microsoftは彼らをForest Blizzardという仮名で特定しています。彼らはロシア軍事情報局の一部である軍事部隊26165に関連していることが知られている。
ロシアのハッカーがWindowsの脆弱性を悪用
Microsoftによると、ハッカーグループは米国、西ヨーロッパ、ウクライナの政府、交通システム、学術機関に対して「GooseEgg」エクスプロイトツールを使用した。
「Forest Blizzardは主に戦略的インテリジェンス目標に焦点を当てている」とMicrosoftは述べた。 Microsoft のインテリジェンス アナリストは、APT28 が少なくとも 2020 年 6 月から、おそらく 2019 年 4 月からGooseEgg を使用していると考えていると報告されています。
GooseEgg は単純なランチャーとして機能しますが、実際のところ、多くのハッカーが Windows 印刷スプーラー サービスの脆弱性を悪用するために使用しているため、悪者の手に渡った場合は非常に危険なツールです。この脆弱性はCVE-2022-38028として識別され、2022 年 10 月のパッチの 1 つで修正され、報告を担当したのは米国国家安全保障局でした。
GooseEgg については、「JavaScript 制限ファイルを変更し、システム レベルのアクセス許可で実行することによって」未修正の脆弱性を悪用すると Microsoft は述べています。 Microsoft Threat Intelligence チームのレポートは、GooseEgg がロシアのハッカーをどの程度支援できるかを示しています。
同社によれば、「GooseEgg は、昇格されたアクセス許可を使用してコマンド ラインで指定された他のアプリケーションを生成することができ、サイバー犯罪者がリモート コードの実行、バックドアのインストール、侵害されたネットワークを介した横方向の移動など、次のターゲットにアクセスできるようになります。」
この脆弱性は、可能な限りシステムを更新することの重要性を示すもう 1 つの例です。更新によっては、個人ファイルやアプリケーションの一部が破損する可能性があるにもかかわらず、サイバー犯罪者が制御を得るために利用する可能性がある非常に重要なセキュリティ問題が修正されるからです。私たちのシステムの制御。
このエクスプロイトは、Windows Defender で「HackTool:Win64/GooseEgg」として識別されます。さらに、攻撃はCVE-2017-8570として識別される別の脆弱性を利用するため、説明されている脆弱性は唯一のものではありません。これは Microsoft Office エクスプロイトを指し、変更された PowerPoint ドキュメントを通じてアクセスされます。
Microsoft の CEO、Satya Nadella は、これに取り組んでおり、それが会社の「最優先事項」であると警告しています。ナデラ氏は投資家との前回の会合で「われわれは努力を倍増させ、他のすべての機能や投資を含め、セキュリティを何よりも優先している」と述べた。
経由 | フォーブス