Государственный актер использует уязвимость, исправленную в октябре 2022 года, чтобы атаковать Microsoft
Патч для этой уязвимости, CVE-2022-38028, был выпущен еще в октябре 2022 года, когда она была активно эксплуатирована. Тогда она была сообщена компании Microsoft американской Национальной службой безопасности (NSA).
Microsoft выпустила сообщение об этом, но не упомянула о том, что она подвергается эксплуатации.
Сатнам Наранг, старший инженер по исследованиям в области безопасности в компании Tenable, заявил в FAQ, что CVE-2022-38028 является уязвимостью повышения привилегий, используемой в рамках дальнейших действий после компрометации.
“В данном случае злоумышленники использовали вредоносное ПО под названием GooseEgg для эксплуатации этой уязвимости с целью повышения привилегий, что может позволить им устанавливать дополнительное вредоносное ПО, такое как задние двери, или использовать эти повышенные привилегии для выполнения бокового перемещения через сеть для обнаружения других систем, содержащих более чувствительную информацию,” – сказал он.
В ответ на запрос о масштабах атак, учитывая, что патч был выпущен в октябре 2022 года, Наранг сказал: “Исходя из общедоступной информации, кажется, что эксплуатация CVE-2022-38028 была связана с угрозами от государственных актеров, известных как APT28 или Forest Blizzard.
“Атаки, совершаемые группами типа APT, такими как APT28, имеют целевой характер, потому что их цели часто более связаны с шпионажем / сбором информации, в то время как группы, использующие рэнсомваре, чисто мотивированы финансово.
“У нас нет других указаний на то, что CVE-2022-38028 была эксплуатирована другими угрозами в настоящее время.
“Организации, которые еще не применили доступные патчи для уязвимостей в службе управления печатью, таких как CVE-2022-38028 и уязвимости, связанные с PrintNightmare (CVE-2021-34527, CVE-2021-1675), должны сделать это как можно скорее, чтобы предотвратить возможную будущую эксплуатацию APT28 или другими угрозами.”
Отвечая на вопрос о том, что примечательно в использовании национально поддерживаемой APT известной уязвимости, Наранг сказал, что исторически группы типа APT часто были связаны с эксплуатацией нулевых дней, которые они часто разрабатывали или покупали у разработчиков эксплойтов.
“Однако мы видим тенденцию, когда группы типа APT используют общедоступные эксплойты для известных уязвимостей, поскольку несчастный факт заключается в том, что не заплатанные уязвимости остаются распространенными среди многих организаций,” – добавил он.
