微软警告俄罗斯APT28利用GooseEgg工具利用Windows打印池漏洞

快速导读：微软发出警告，称俄罗斯APT28威胁团伙正在利用Windows打印池的漏洞。该团伙自2020年6月以来一直在使用一种名为GooseEgg的先前未知的黑客工具。该工具使APT28能够提升特权、窃取凭据并部署具有SYSTEM级特权的其他恶意载荷。微软观察到APT28在针对各种组织（包括政府、非政府、教育和交通部门）的后渗透活动中使用GooseEgg。

APT28的利用策略和GooseEgg工具

APT28，也被称为俄罗斯总参谋部情报总局（GRU）的26165军事单位，一直在利用GooseEgg工具来利用CVE-2022-38028漏洞。该工具使该团伙能够启动和部署恶意载荷、以提升特权运行命令，并在受损系统上保持持久性。APT28将GooseEgg工具作为Windows批处理脚本释放，并添加了一个计划任务以实现进一步的持久性。他们还使用GooseEgg释放了一个恶意DLL文件，该文件允许执行其他具有SYSTEM级权限的恶意载荷，从而促进了后门的部署和网络内的横向移动。

APT28的历史和以往的网络攻击

APT28自2000年代中期以来一直在进行重大网络攻击。过去，该团伙利用思科路由器的零日漏洞部署Jaguar Tooth恶意软件，该软件针对敏感信息。他们还利用黑客入侵的Ubiquiti EdgeRouters来逃避攻击检测。APT28被认为与德国联邦议会的入侵以及2016年美国总统选举期间民主党全国委员会和民主党国会竞选委员会的黑客攻击有关。美国和欧盟已对APT28成员采取法律行动，以追究他们在这些攻击中的责任。