Microsoft: Kreml-Hacker missbrauchen alten Print-Spooler-Bug in Windows
Die russische Hackergruppe APT28 nutzt wohl schon seit Jahren eine bekannte Sicherheitslücke im Print-Spooler von Windows aus, um auf Zielsystemen mit einem Tool namens Goose Egg ihre Rechte auszuweiten. Seit mindestens Juni 2020 und möglicherweise sogar bereits seit April 2019 setze die Gruppe dieses Tool ein, um Systemrechte zu erlangen und Anmeldeinformationen abzugreifen, erklärt Microsofts Threat-Intelligence-Team in einem Blogbeitrag(öffnet im neuen Fenster).
Goose Egg ist demnach allerdings nur eine Art Launcher-Anwendung, die es den Angreifern ermöglicht, andere Tools mit erweiterten Rechten auszuführen. Dies ermöglicht APT28 weitere böswillige Aktivitäten wie etwa die Ausführung von Schadcode aus der Ferne, die Installation einer Backdoor oder die Infiltration weiterer Systeme innerhalb eines kompromittierten Netzwerks.
Bei der genannten Schwachstelle im Print-Spooler handelt es sich um CVE-2022-38028(öffnet im neuen Fenster). Gemeldet wurde diese laut Microsoft vom US-Auslandsgeheimdienst NSA. Ein Patch steht schon seit Oktober 2022 bereit, so dass Goose Egg für all jene, die ihre Systeme regelmäßig aktualisieren, keine reale Bedrohung darstellen dürfte.
Darüber hinaus werde das Tool der Angreifer auch vom Microsoft Defender als Bedrohung erkannt, betont der Konzern. Weitere Handlungsempfehlungen zum Schutz vor Goose Egg sowie technische Details zur Vorgehensweise der Angreifer sind im Blogbeitrag von Microsoft zu finden.
Verbindung zum russischen Militär
Bei APT28 handelt es sich laut Microsoft um eine Hackergruppe, die auch unter anderen Namen wie Forest Blizzard oder Fancy Bear bekannt und mit der Einheit 26165 des russischen Militärgeheimdienstes verbunden ist. "Seit mindestens 2010 besteht die Hauptaufgabe des Bedrohungsakteurs darin, Informationen zu sammeln, um außenpolitische Initiativen der russischen Regierung zu unterstützen", erklärt der Konzern.
APT28 ziele vor allem auf Regierungs-, Energie-, Transport- und Nichtregierungsorganisationen in den Vereinigten Staaten, Europa und dem Nahen Osten ab. Darüber hinaus habe der Softwarekonzern aber auch Angriffe auf Bildungseinrichtungen und Organisationen aus den Bereichen IT, Medien und Sport beobachtet.
Auch hierzulande ist APT28 keine Unbekannte. So wurde die Hackergruppe etwa für einen im Jahr 2015 erfolgten Hackerangriff auf den Deutschen Bundestag verantwortlich gemacht. Nur wenige Jahre später wurde APT28 verdächtigt, das vertrauliche Kommunikationsnetz der Bundesregierung infiltriert zu haben.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.