ロシアハッカーAPT28が新ツール「GooseEgg」を用いてWindowsの脆弱性を悪用:CVE-2022-38028 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ロシアハッカーAPT28が新ツール「GooseEgg」を用いてWindowsの脆弱性を悪用:CVE-2022-38028

Threat Report

APT

APT28

Fancy Bear

ロシアハッカーAPT28が新ツール「GooseEgg」を用いてWindowsの脆弱性を悪用:CVE-2022-38028

佐々山 Tacos

佐々山 Tacos

2024.04.23

4月23日: サイバーセキュリティ関連ニュース

ロシアハッカーAPT28が新ツール「GooseEgg」を用いてWindowsの脆弱性を悪用、マイクロソフトが報告:CVE-2022-38028

BleepingComputer – April 22, 2024

ロシアの脅威グループAPT28が、これまで知られていなかったハッキングツール「GooseEgg」を使ってWindows 印刷スプーラーにおける特権昇格の脆弱性CVE-2022-38028を悪用していることについて、マイクロソフトが注意喚起。同脆弱性は2022年10月の月例パッチで修正されたものだが、悪用は遅くとも2020年6月から行われているとされる。また、2019年4月には始まっていた可能性もあるという。

APT28はロシア軍参謀本部情報総局(GRU)の軍事部隊Unit 26165に属するとされるグループで、Forest Blizzard、Fancy Bear、Sofacyといった名称でも知られる。マイクロソフトが観測したところによると、このグループは「execute.bat」あるいは「doit.bat」というWindowsバッチスクリプトを投下し、これを使ってGooseEggの実行ファイル(ファイル名は「justice.exe」や「DefragmentSrv.exe」など)を実行するという。GooseEggは、さらなるペイロードの実行・展開や、SYSTEM権限でのコマンド実行のために用いられるほか、印刷スプーラーサービスのコンテキストにおいて悪意ある埋め込みDLLファイル(ファイル名は「wayzgoose23.dll」など)をSYSTEM権限で実行するためにも使われる。これにより攻撃者は、バックドアのインストール、侵害したネットワーク上でのラテラルムーブメント、リモートコード実行といった追加のアクティビティも実行できるようになるという。

GooseEggをポストエクスプロイトツールとして用いるこの攻撃では、ウクライナ、西ヨーロッパ、北米の政府部門、非政府部門、教育部門、運輸部門の組織が標的になっているとされる。マイクロソフトのブログ記事では、悪用やGooseEggの詳細とともに、組織への推奨事項なども提供されている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ