Le groupe de pirates informatiques affiliés à la Russie Forest Blizzard exploite une vulnérabilité de Windows (CVE-2022-38028) pour élever les privilèges et voler des informations d'identification et des données à l'aide d'un outil de piratage appelé GooseEgg, jusqu'à présent inconnu. Microsoft indique que GooseEgg favorise l'installation d'autres programmes malveillants avec des privilèges élevés, offrant aux attaquants des capacités comme l'exécution de code à distance, le déploiement de portes dérobées et le déplacement latéral. Les attaques auraient ciblé des organisations gouvernementales, non gouvernementales, d'éducation et de transport, etc.La vulnérabilité critique CVE-2022-38028 a été signalée à Microsoft pour la première fois par l'Agence nationale de sécurité (NSA) des États-Unis. L'exploitation de CVE-2022-38028, dont la gravité est évaluée à 7,8 sur 10, permet aux attaquants d'obtenir des privilèges système, les plus élevés sous Windows, lorsqu'elle est combinée avec un exploit séparé. Cette vulnérabilité affecte Print Spooler, un composant de gestion des imprimantes qui a déjà été à l'origine de failles critiques. Microsoft avait corrigé la vulnérabilité lors de son Patch Tuesday d'octobre 2022, mais n'avait pas mentionné qu'elle était activement exploitée.
Binaire GooseEgg ajoutant des magasins de pilotes à un répertoire contrôlé par les acteurs de la menace
Lundi, Microsoft a révélé qu'un groupe de pirates informatiques que l'entreprise suit sous le nom de Forest Blizzard (APT28) exploite la vulnérabilité CVE-2022-38028 depuis au moins juin 2020, et peut-être même depuis avril 2019. Selon les gouvernements américain et britannique, Forest Blizzard est lié à la division "Unit 26165" de la Main Intelligence Directorate, un service de renseignement militaire russe mieux connu sous le nom de GRU. Forest Blizzard se concentrerait sur la collecte de renseignements en piratant un large éventail d'organisations, principalement aux États-Unis, en Europe et au Moyen-Orient.
Selon l'avis de sécurité de Microsoft, Forest Blizzard exploite la faille CVE-2022-38028 depuis au moins avril 2019 dans des attaques qui, une fois les privilèges système acquis, utilisent un outil précédemment non documenté que Microsoft a baptisé "GooseEgg". Microsoft a décrit GooseEgg comme un outil de post-compromission qui élève les privilèges sur une machine compromise et fournit une interface "simple" pour installer d'autres logiciels malveillants qui s'exécutent également avec des privilèges système. Selon l'entreprise, ces logiciels malveillants supplémentaires peuvent être personnalisés pour chaque cible.
Ils comprennent notamment des logiciels de vol d'informations d'identification (stealers) et des outils permettant de se déplacer latéralement dans un réseau compromis. GooseEgg est généralement installé à l'aide d'un simple script batch, qui est exécuté après l'exploitation réussie de CVE-2022-38028 ou d'une autre vulnérabilité, telle que CVE-2023-23397, qui, selon l'avis publié lundi, a également été exploitée par Forest Blizzard. Le script est chargé d'installer le binaire GooseEgg, souvent appelé "justice.exe" ou "DefragmentSrv.exe", puis de s'assurer qu'il s'exécute à chaque redémarrage de la machine infectée.
Le groupe de pirates utilise également GooseEgg pour déposer un fichier DLL malveillant intégré (dans certains cas appelé "wayzgoose23.dll") dans le contexte du service PrintSpooler avec les privilèges système. Ce fichier DLL est en fait un lanceur d'applications qui peut exécuter d'autres charges utiles avec des autorisations de niveau système et permet aux attaquants de déployer des portes dérobées, de se déplacer latéralement dans les réseaux des victimes et d'exécuter du code à distance sur les systèmes violés. Microsoft explique :
Envoyé par Microsoft
Microsoft a observé que Forest Blizzard utilisait GooseEgg dans le cadre d'activités post-compromission contre des cibles telles que des organisations gouvernementales, non gouvernementales, éducatives et du secteur des transports d'Ukraine, d'Europe occidentale et d'Amérique du Nord.
Bien qu'il s'agisse d'une simple application de lancement, GooseEgg est capable d'engendrer d'autres applications spécifiées dans la ligne de commande avec des autorisations élevées, ce qui permet aux acteurs de la menace de soutenir tout objectif ultérieur tel que l'exécution de code à distance, l'installation d'une porte dérobée et le déplacement latéral à travers les réseaux compromis.
Forest Blizzard (APT28, Sednit, Sofacy, GRU Unit 26165, et Fancy Bear) a été à l'origine de nombreuses cyberattaques très médiatisées depuis son apparition au milieu des années 2000. Par exemple, il y a un an, les services de renseignement américains et britanniques ont averti que Forest Blizzard avait exploité une faille dans un routeur Cisco pour déployer le logiciel malveillant "Jaguar Tooth", ce qui lui a permis de recueillir des informations sensibles auprès de cibles aux États-Unis et dans l'Union européenne.
Plus récemment, en février, un avis conjoint du FBI, de la NSA et de partenaires internationaux a signalé que Forest Blizzard utilisait des routeurs "Ubiquiti EdgeRouters" piratés pour échapper à la détection lors d'attaques. Ils ont également été associés dans le passé à la violation du Parlement fédéral allemand (Deutscher Bundestag) et aux piratages du Democratic Congressional Campaign Committee (DCCC) et du Democratic National Committee (DNC) avant l'élection présidentielle américaine de 2016.
Deux ans plus tard, les États-Unis ont inculpé les membres de Forest Blizzard pour leur implication dans les attaques du DNC et du DCCC, tandis que le Conseil de l'Union européenne a également sanctionné les membres de Forest Blizzard en octobre 2020 pour le piratage du Parlement fédéral allemand.
L'avis de sécurité de Microsoft indique que l'entreprise a également publié des indicateurs de compromission (indicators of compromise - IOC) associés aux attaques observées, ainsi que des ressources supplémentaires pour aider les organisations à traquer les infections potentielles de GooseEgg.
Source : Microsoft (1, 2)
Et vous ?
Quel est votre avis sur le sujet ? Pourquoi Microsoft n'a pas informé les utilisateurs que la vulnérabilité CVE-2022-38028 faisait l'objet d'une exploitation active ? Avez-vous été victime d'une attaque liée à l'exploitation de cette vulnérabilité ? Si oui, partagez votre expérience.Voir aussi
Les failles de sécurité dans les applications d'IA montent en flèche, le nombre de vulnérabilités Zero Day liées à l'IA a triplé depuis novembre 2023, selon les dernières conclusions de Protect AI Les attaques de phishing augmentent de 58 % grâce à l'IA, alimentées en partie par la prolifération de stratagèmes basés sur la GenAI, tels que le hameçonnage vocal et le "deepfake phishing", d'après Zscaler Europol plaide auprès des grandes entreprises de la Tech afin qu'elles abandonnent le chiffrement de bout en bout qui l'empêche de protéger les individus contre la criminalité en ligne 
