微软发现 GooseEgg 恶意软件：俄罗斯国家黑客武器库中的新武器

GooseEgg 恶意软件仅由一个名为“森林暴雪”的组织使用，该组织与美国和英国政府与俄罗斯军事情报机构 GRU Unit 26165 密切相关。

微软研究人员在俄罗斯国家黑客的武器库中发现了一种新工具，可以帮助他们获得更高的访问权限、窃取凭据并允许在受感染网络内进行横向移动。这个 被称为 GooseEgg 恶意 软件的复杂工具利用了负责管理打印过程的 Windows Print Spooler 服务中被识别为 CVE-2022-38028 的漏洞。

雷蒙德在 2022 年 10 月的星期二补丁中修复了为攻击者提供系统权限的漏洞，并指出该漏洞“最有可能”被利用。该公司尚未在评估中将该缺陷标记为被积极利用。

黑客利用 GooseEgg 恶意软件来攻击 Windows 设备

GooseEgg 恶意软件仅由该科技巨头追踪的“森林暴雪”组织使用，该组织与美国和英国政府 与俄罗斯军事情报机构 GRU 的 26165 部门 密切相关。

微软表示，森林暴雪（也称为 Fancy Bear 和 APT28 ）至少自 2020 年 6 月起就部署了 GooseEgg，目标是乌克兰、西欧和北美的国家、非政府、教育和交通实体。

雷蒙德说：“在森林暴雪行动中使用 GooseEgg 是一个独特的发现，安全提供商之前从未报道过。”

在获得对目标设备的访问权限后，Forest Blizzard 使用 GooseEgg 来提升网络内的权限。尽管 GooseEgg 本身是一个基本的启动器应用程序，但它使攻击者能够执行远程代码、植入后门并横向遍历受感染的网络。

森林暴雪黑客的崛起

Forest Blizzard 还利用了其他漏洞，包括 CVE-2023-23397，该漏洞影响 Windows 设备上所有版本的 Microsoft Outlook 软件，并且 已知 已被利用。这个严重评级的错误允许攻击者从受害者那里窃取 Net-NTLM 哈希值，从而使攻击者能够冒充受害者身份并深入组织。

在 12 月的