微软发现 GooseEgg 恶意软件

GooseEgg 恶意软件仅由一个名为“森林暴雪”的组织使用，该组织与美国和英国政府与俄罗斯军事情报机构 GRU Unit 26165 密切相关。

微软研究人员在俄罗斯国家黑客的武器库中发现了一种新工具，可以帮助他们获得更高的访问权限、窃取凭据并允许在受感染网络内进行横向移动。这个被称为GooseEgg恶意软件的复杂工具利用了负责管理打印过程的 Windows Print Spooler 服务中被识别为 CVE-2022-38028 的漏洞。 

雷蒙德在 2022 年 10 月的星期二补丁中修复了为攻击者提供系统权限的漏洞，并指出该漏洞“最有可能”被利用。该公司尚未在评估中将该缺陷标记为被积极利用。 

黑客利用 GooseEgg 恶意软件来攻击 Windows 设备

GooseEgg 恶意软件仅由该科技巨头追踪的“森林暴雪”组织使用，该组织与美国和英国政府与俄罗斯军事情报机构 GRU 的 26165 部门密切相关。 

微软表示，森林暴雪（也称为Fancy Bear 和 APT28）至少自 2020 年 6 月起就部署了 GooseEgg，目标是乌克兰、西欧和北美的国家、非政府、教育和交通实体。 

雷蒙德说：“在森林暴雪行动中使用 GooseEgg 是一个独特的发现，安全提供商之前从未报道过。”

在获得对目标设备的访问权限后，Forest Blizzard 使用 GooseEgg 来提升网络内的权限。尽管 GooseEgg 本身是一个基本的启动器应用程序，但它使攻击者能够执行远程代码、植入后门并横向遍历受感染的网络。

森林暴雪黑客的崛起

Forest Blizzard 还利用了其他漏洞，包括 CVE-2023-23397，该漏洞影响 Windows 设备上所有版本的 Microsoft Outlook 软件，并且已知已被利用。这个严重评级的错误允许攻击者从受害者那里窃取 Net-NTLM 哈希值，从而使攻击者能够冒充受害者身份并深入组织。 

在 12 月的警告中，微软警告称，自 2022 年 4 月以来，Forest Blizzard 一直在利

用 Microsoft Outlook 漏洞非法访问 Microsoft Exchange 服务器内的电子邮件帐户。  

森林暴雪主要针对美国、欧洲和中东的政府、能源、交通和非政府组织，但微软表示，它观察到 GRU 黑客的重点转向了全球媒体、信息技术、体育组织和教育机构。  

微软表示：“森林暴雪通过采用新的定制技术和恶意软件不断完善其足迹，这表明它是一个资源充足、训练有素的组织，对归因和跟踪其活动构成了长期挑战。”

原文始发于微信公众号（OSINT研习社）：微软发现 GooseEgg 恶意软件：俄罗斯国家黑客武器库中的新武器