APT29 атакует пользователей Windows через лазейку в Диспетчере очереди печати

На протяжении последних лет специалисты в сфере безопасности наблюдают усиление кибератак на организации в Восточной и Западной Европе, а также Северной Америке. Виной тому хакеры из группировки APT29, активно эксплуатирующие уязвимости в системах безопасности.

Исследователи из компании Microsoft выявили использование группой нового типа вредоносного программного обеспечения под названием GooseEgg для атак с помощью бага в компоненте Windows Print Spooler (Диспетчере очереди печати), официально исправленного ещё в октябре 2022 года.

Уязвимость, известная как CVE-2022-38028 с оценкой 7.8 по шкале CVSS, позволяет получить повышенные привилегии в системе. С помощью вредоноса GooseEgg злоумышленники запускают программы с повышенными правами, что облегчает дальнейшее распространение вредоносных программ и установку бэкдоров.

Согласно данным специалистов, действия APT29 часто ориентированы на сбор разведданных. Программа GooseEgg, хоть и является простым приложением-лаунчером, поддерживает различные команды для активации уязвимостей и запуска вредоносного кода.

Недавно было также замечено, что эта группа использует уязвимости в Microsoft Outlook и WinRAR для эскалации привилегий и выполнения кода, что подчёркивает их способность быстро интегрировать публичные эксплойты в свои операции.

Для защиты от атак APT29 специалисты Microsoft рекомендуют устранить уязвимость диспетчера очереди печати, если это не было сделано после выхода исправления, а также активно наращивать защитные механизмы внутри организации.