Forest Blizzard GooseEgg használata

Yanac April 23, 2024April 23, 2024 APT28, BlueDelta, Energia Szektor, FancyBear, Forest Blizzard, GooseEgg, Közigazgatás, Oroszország, Pawn Storm, Sednit, Sofacy, TA422, Unit 26165

A Microsoft megfigyelte, hogy a Forest Blizzard a GooseEgg-et használja olyan célpontok ellen, mint az ukrán, nyugat-európai és észak-amerikai kormány, nem kormányzati, oktatási és közlekedési szektor szervezetei. Noha egy egyszerű indítóalkalmazás, a GooseEgg képes más, a parancssorban megadott, emelt szintű jogosultságokkal rendelkező alkalmazásokat létrehozni, lehetővé téve a fenyegetés szereplőinek, hogy támogassák az olyan további célokat, mint például a távoli kódvégrehajtás, a hátsó ajtó telepítése és a veszélyeztetett hálózatokon keresztüli oldalirányú mozgás.

A Forest Blizzard (más fenyegetéselemzők szerint átfedésben van a TA422, az APT28, a Pawn Storm, a Fancy Bear és BlueDelta néven azonosított csoportokkal) elsősorban kormányzati, energiaügyi, közlekedési és nem kormányzati szervezeteket céloz meg az Egyesült Államokban, Európában és a Közel-Keleten, valamint a médiát, az információtechnológiát, a sportszervezeteket és az oktatási intézményeket célozza meg világszerte. Legalább 2010 óta a fenyegetettség szereplőjének elsődleges küldetése az orosz kormány külpolitikai kezdeményezéseit támogató hírszerzési információk gyűjtése. Az Egyesült Államok és az Egyesült Királyság kormánya összekapcsolta a Forest Blizzardot az Orosz Föderáció katonai hírszerző ügynökségének, az Orosz Föderáció Fegyveres Erői Főnöksége Fő Hírszerzési Igazgatóságának (GRU) 26165-ös egységével. Más biztonsági kutatók a GRU Unit 26165, APT28, Sednit, Sofacy és Fancy Bear kifejezéseket használták a hasonló vagy kapcsolódó tevékenységekkel rendelkező csoportokra.

A Microsoft megosztotta a kockázatcsökkentő javaslatait, valamint a kihasználás azonosításához szükséges mutatókat.

(forrás)