Microsoft는 러시아 APT28 위협 그룹이 Windows Print Spooler 취약점을 이용해 권한을 상승시키고, 자격 증명과 데이터를 도난당하는 데 이전에 알려지지 않은 해킹 도구인 'GooseEgg'를 사용하고 있다고 경고했습니다. APT28은 2020년 6월 이후, 아마도 2019년 4월 이후부터 이 도구를 이용해 CVE-2022-38028 취약점을 악용해 왔습니다. Microsoft는 2022년 10월 패치 화요일에 미국 국가안보국이 보고한 이 취약점을 수정했지만, 아직 그것이 활성화된 공격으로 태그되지 않았습니다.
러시아의 주요 정보국(GRU)의 군사 부대 26165의 군사 해커들은 GooseEgg를 사용해 추가적인 악성 페이로드를 시작하고 배포하며, SYSTEM 수준 권한으로 다양한 명령을 실행합니다. Microsoft는 공격자들이 이 후 감염 도구를 'execute.bat' 또는 'doit.bat'이라는 Windows 배치 스크립트로 떨어뜨리고, GooseEgg 실행 파일을 시작하여 'servtask.bat'이라는 두 번째 배치 스크립트를 디스크에 작성하는 예약된 작업을 추가함으로써 손상된 시스템에 지속성을 얻는 것을 보았습니다.
APT28은 2000년대 중반에 처음 등장한 이래로 많은 고위험 사이버 공격을 담당한 러시아의 주요 해킹 그룹입니다. 지난해, 미국과 영국의 정보 서비스는 APT28이 Cisco 라우터 제로데이를 악용하여 Jaguar Tooth 악성 코드를 배포하고, 미국과 EU의 목표에서 민감한 정보를 수집하는 것에 대해 경고했습니다.
요약
- Microsoft는 러시아 APT28 위협 그룹이 Windows Print Spooler 취약점을 이용해 권한을 상승시키고, 자격 증명과 데이터를 도난당하는 데 이전에 알려지지 않은 해킹 도구인 'GooseEgg'를 사용하고 있다고 경고했다.
- 러시아의 주요 정보국(GRU)의 군사 부대 26165의 군사 해커들은 GooseEgg를 사용해 추가적인 악성 페이로드를 시작하고 배포하며, SYSTEM 수준 권한으로 다양한 명령을 실행한다.
- APT28은 2000년대 중반에 처음 등장한 이래로 많은 고위험 사이버 공격을 담당한 러시아의 주요 해킹 그룹이다. 지난해, 미국과 영국의 정보 서비스는 APT28이 Cisco 라우터 제로데이를 악용하여 Jaguar Tooth 악성 코드를 배포하고, 미국과 EU의 목표에서 민감한 정보를 수집하는 것에 대해 경고했다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.