عملية التهديد المستمر المتقدم (APT) المدعومة من روسيا والتي تم تتبعها باسم Forest Blizzard بواسطة Microsoft – ولكنها معروفة أكثر باسم يتوهم الدب أو APT28 – تستغل ثغرة عمرها عامين في Windows Print Spooler باستخدام أداة مخصصة لاستهداف المؤسسات التعليمية والحكومية وقطاع النقل في أوكرانيا وأوروبا الغربية وأمريكا الشمالية.
الأداة، المشار إليها باسم GooseEgg، تستغل CVE-2022-38028 – ارتفاع ثغرة الامتياز مع درجة أساسية لـ CVSS تبلغ 7.8 – ومن المحتمل أن Fancy Bear يستخدمها منذ يونيو 2020، وربما في وقت مبكر من أبريل 2019.
تعمل الأداة عن طريق تعديل ملف قيود جافا سكريبت ثم تنفيذه بأذونات على مستوى النظام، مما يمكّن جهة التهديد من رفع امتيازاتها وسرقة بيانات الاعتماد الحيوية من ضحاياها.
على الرغم من أن GooseEgg عبارة عن مشغل بسيط نسبيًا، إلا أنه يمكنه أيضًا إنتاج تطبيقات أخرى محددة في سطر الأوامر بامتيازات مرتفعة – مما يمكّن مستخدمه من دعم أهداف أخرى، بما في ذلك تثبيت الأبواب الخلفية والحركة الجانبية وتنفيذ التعليمات البرمجية عن بُعد.
ولطالما حرصت الجهات الفاعلة في مجال التهديد الروسي على نقاط الضعف المماثلة – مثل PrintNightmare، الذي ظهر في عام 2021 – ولكن وفقًا لمايكروسوفت، فإن استخدام GooseEgg يعد “اكتشافًا فريدًا” لم يتم الإبلاغ عنه من قبل.
قال فريق Microsoft Threat Intelligence: “تلتزم Microsoft بتوفير رؤية للنشاط الضار المرصود ومشاركة الرؤى حول الجهات الفاعلة في مجال التهديد لمساعدة المؤسسات على حماية نفسها”. في كتابته. “يجب على المؤسسات والمستخدمين تطبيق التحديث الأمني CVE-2022-38028 للتخفيف من هذا التهديد، بينما يكتشف Microsoft Defender Antivirus قدرة Forest Blizzard المحددة باسم HackTool:Win64/GooseEgg.”
بالإضافة إلى ذلك، قال الفريق، نظرًا لأن Windows Print Spooler ليس ضروريًا لعمليات وحدة التحكم بالمجال، فمن المستحسن تعطيله على وحدات التحكم بالمجال إذا كان ذلك ممكنًا.
علاوة على ذلك، قالت مايكروسوفت إن المستخدمين يجب أن يسعوا جاهدين ليكونوا “دفاعيين بشكل استباقي”، واتخاذ خطوات مثل اتباع توصيات تقوية بيانات الاعتماد؛ تشغيل الكشف عن نقطة النهاية والاستجابة لها (EDR) في وضع الحظر للسماح لـ Microsoft Defender for Endpoint بحظر العناصر الضارة حتى لو لم تكتشفها برامج مكافحة الفيروسات الأخرى؛ السماح لـ Defender for Endpoint بأتمتة التحقيق ومعالجة المشكلات؛ وتنشيط الحماية المقدمة عبر السحابة في Microsoft Defender Antivirus.
سيفكو للأمن قال المؤسس المشارك جريج فيتزجيرالد إن اكتشاف GooseEgg يمثل مشكلة أوسع في عالم الأمان من مجرد عدم الاهتمام بإدارة الثغرات الأمنية.
وقال: “أصبحت فرق الأمن فعالة بشكل لا يصدق في تحديد ومعالجة مخاطر التطرف العنيف، ولكن بشكل متزايد، فإن نقاط الضعف البيئية هذه – في هذه الحالة داخل خدمة Windows Print Spooler، التي تدير عمليات الطباعة – هي التي تخلق ثغرات أمنية تمنح الجهات الفاعلة الضارة إمكانية الوصول إلى البيانات .
وقال فيتزجيرالد: “تختبئ نقاط الضعف هذه على مرأى من الجميع في جميع بيئات تكنولوجيا المعلومات، مما يخلق مشهدًا من التهديدات التي لا تستطيع فرق الأمن رؤيتها، ولكنها لا تزال مسؤولة عنها”. “الحقيقة المؤسفة هي أن معظم المؤسسات غير قادرة على إنشاء مخزون دقيق لأصول تكنولوجيا المعلومات يعكس مجمل سطح الهجوم الخاص بها.
“وهذا يضعهم تحت رحمة المهاجمين الذين يعرفون أين يبحثون عن أصول تكنولوجيا المعلومات المنسية التي تحتوي على نقاط ضعف قابلة للاستغلال.”
مزيد من الإرشادات حول اكتشاف GooseEgg ومطاردته والاستجابة له متاح من مايكروسوفت.
