Microsoft Threat Intelligence предоставила результаты своего многолетнего расследования деятельности российского угрожающего агента, известного как Forest Blizzard (STRONTIUM).
Этот агент использует инструмент с названием GooseEgg для повышения привилегий и кражи учетных данных во взломанных сетях, с использованием уязвимости CVE-2022-38028 в службе Windows Print Spooler. Forest Blizzard была замечена в действии с июня 2020 года, возможно, даже с апреля 2019 года, и его цели включают украинские, западноевропейские и североамериканские правительственные, неправительственные, образовательные и транспортные организации. Он использует GooseEgg для выполнения различных действий после компрометации, таких как удаленное выполнение кода, установка бэкдора и перемещение по скомпрометированным сетям.
Forest Blizzard часто использует общедоступные эксплойты, такие как CVE-2023-23397, в дополнение к уязвимости CVE-2022-38028.
Forest Blizzard с 2010 года активно атакует правительственные, энергетические, транспортные и неправительственные организации в разных странах. Microsoft связывает его с APT28, Sednit, Sofacy и Fancy Bear.
Главная цель Forest Blizzard при использовании GooseEgg - получение повышенного доступа и кража учетных данных и информации. Он использует пакетные сценарии для установки и настройки GooseEgg, а сам GooseEgg имеет несколько команд для выполнения различных задач.
Indicators of Compromise
SHA256
- 41a9784f8787ed86f1e5d20f9895059dac7a030d8d6e426b9ddcaf547c3393aa
- 6b311c0a977d21e772ac4e99762234da852bbf84293386fbe78622a96c0b052f
- 7d51e5cc51c43da5deae5fbc2dce9b85c0656c465bb25ab6bd063a503c1806a9
- c60ead92cd376b689d1b4450f2578b36ea0bf64f3963cfa5546279fa4424c2a5