APT 28 黑客组织被指“至少从2020年6月，甚至早在2019年4月就开始”利用CVE-2022-38028。该漏洞由美国国家安全局 (NSA) 报送，微软在2022年10月补丁星期二中修复了该漏洞并将其标记为已遭活跃利用状态。

APT 28黑客组织被认为是俄罗斯格鲁乌26165部队的一部分，它利用 GooseEgg 发动并部署额外的恶意 payload 并以系统级别权限运行多种命令。微软发现该组织将这款攻陷后工具以Windows批量脚本的方式释放，该脚本名为 “execute.bat” 或 “doit.bat”，它启动 GooseEgg 可执行文件并通过添加启动第二个写入磁盘的批量脚本 “servtask.bat” 的调度任务的方式，在受陷系统上获得可持久性。他们还使用 GooseEgg 工具，以系统权限在 PrintSpooler 服务上下文中释放嵌入式恶意 DLL 文件（在某些情况下被称为 “wayzgoose23.dll）。该DLL实际上是一款app启动器，可以系统权限执行其它 payload，并使攻击者部署后门，在受害者网络中横向移动并在受陷系统上运行远程代码。

微软解释称，“微软发现 Forest Blizzard 将 GooseEgg 作为攻陷后活动的一部分，攻击乌克兰、西欧和北美政府、非政府、教育和交通行业的组织机构。虽然 GooseEgg 是一款简单的启动器应用，但它能够通过提升后的权限扩展到其它应用，从而使攻击者能够支持其它目标如远程代码执行、安装后门并在受陷网络中横向移动。”

高级别网络攻击的历史

APT28是一个引人注目的俄罗斯黑客组织，出现于2000年代中期，负责执行很多高级别网络攻击活动。

例如，一年前，英美情报服务提醒称APT28利用思科路由器0day漏洞部署 Jaguar Tooth 恶意软件，从位于美国和欧洲的目标中窃取敏感信息。今年2月，FBI、NSA和国际合作伙伴发布联合公告提到，APT28入侵Ubiquiti EdgeRouters 躲避检测。该组织还被指攻击德国联邦议会，并在2016年美国总统大选仟攻击DCCC和DNC。此事件发生两年后，美国起诉APT28成员参与DNC和DCCC攻击，而欧盟议会也在2020年10月就APT28入侵德国联邦议会而对其实施制裁。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~