关于“俄罗斯的 APT28 利用 Windows 打印后台处理程序漏洞部署GooseEgg恶意软件”的分析

GooseEgg恶意软件

　　GooseEgg本身是一个简单的启动器应用程序，但它的危害性并不止于此，它利用Windows Print Spooler服务中的CVE-2022-38028漏洞进行攻击。这款恶意软件似乎是由名为“森林暴雪”(Forest Blizzard，也被称为Fancy Bear和APT28)的组织所独有的。

　　它允许攻击者执行一系列恶意操作，如远程执行代码、安装后门以及通过受感染的网络进行横向移动。这些操作使得攻击者能够进一步控制受感染的系统，窃取敏感信息，甚至可能导致系统崩溃。

事件基本情况

　　据一个与俄罗斯有关的民族国家威胁组织被追踪为APT28，该组织利用微软Windows打印后台程序组件中的一个安全漏洞，提供了一个以前未知的定制恶意软件GooseEgg。

　　据说至少从2020年6月开始，可能早在2019年4月就开始使用该工具，该工具利用了一个现已修补的漏洞，该漏洞允许提权(CVE-2022-38028，CVSS评分：7.8)。

　　微软在2022年10月发布的更新中解决了这个问题，美国国家安全局(NSA)当时报告了这一漏洞。

　　根据这家科技巨头威胁情报团队的新发现，APT28(也称为Fancy Bear和Forest Blizzard(前身为Strontium))将该漏洞武器化，用于针对乌克兰、西欧和北美政府、非政府、教育和交通部门组织的攻击。

　　目最近几个月，APT28 黑客还滥用了 Microsoft Outlook 中的权限升级漏洞(CVE-2023-23397，CVSS 评分：9.8)和 WinRAR 中的代码执行漏洞(CVE-2023-38831，CVSS 评分：7.8)，表明他们有能力迅速将公共漏洞应用到他们的交易中。

　　“Forest Blizzard部署GooseEgg的目标是获得对目标系统的更高访问权限，并窃取凭据和信息，”Microsoft说。“GooseEgg 通常使用批处理脚本进行部署。”

　　GooseEgg 二进制文件支持触发漏洞利用并启动提供的动态链接库 (DLL) 或具有提升权限的可执行文件的命令。它还验证是否已使用 whoami 命令成功激活漏洞。

事件分析

　　APT28组织自2020年6月起，一直在针对乌克兰、西欧和北美的国家、非政府、教育和交通组织部署恶意软件，首先，这次攻击再次凸显了网络安全的重要性。随着信息技术的快速发展，网络空间已成为国家安全、经济发展和社会稳定的新战场。APT28组织利用先进的恶意软件和技术手段，成功地对多个重要部门和组织发动了攻击，表明网络安全威胁日益严峻，任何组织和个人都不能掉以轻心。

　　其次，GooseEgg恶意软件的使用显示了APT28组织的高超技术实力。该恶意软件利用了Windows Print Spooler服务中的漏洞，实现了远程代码执行、安装后门和横向移动等恶意操作。这种复杂的攻击手段需要高超的技术能力和深厚的网络安全知识，进一步证明了APT28组织在网络安全领域的强大实力。

　　此外，这次攻击也揭示了网络安全防御的脆弱性。尽管各国政府和组织都在加强网络安全建设，但面对APT28组织这样的高级威胁，仍然存在很多漏洞和弱点。因此，我们需要进一步加强网络安全技术的研究和创新，提高网络安全防御的能力和水平。

　　最后，网络安全是全球性问题，需要各国共同努力。通过加强信息共享、技术交流和联合打击等措施，可以有效提高全球网络安全水平，维护网络空间的和平与稳定。

应对策略

　　根据现已发生的安全事件，我们已做出一下应对策略：一是积极收集网络空间中已纰漏的各种系统漏洞，进行整合并整理成安全手册，给与网络安全方面的人员以学习和检查的平台，及时对系统进行全面排查和对可能存在隐患的系统进行提醒;二是针对现有重要系统和信息加强网络安全防护等级，定期对系统运行、访问等日志审计，开展定期漏洞安全检查和扫描，及时发现嫌疑公布的漏洞，确保系统和重要数据的安全性;三是提高人员网络安全意识，加强网络安全宣传，并定期进行网络安全技能和意识培训，并定期对网络安全人员进行考核，从而增强队伍的应对网络安全风险的能力。