GooseEgg

ほぼこもセキュリティニュース By Terilogy Worx

GooseEggは、ランチャー機能を搭載したマルウェアです。
このマルウェアそのものは新しいものではありませんが、継続的に使用されているものです。
どういったものでしょうか。

  • 初期侵害
    なんらかの手法で、まずは侵害対象の環境にアクセスを入手します。
    この時点では、特権のあるユーザでのアクセスではなく、一般権限の状態です。

     

  • CVE-2022-38028の悪用
    脆弱性を悪用し、特権昇格を実現します。
    CVE-2022-38028はWindows印刷スプーラーサービスの脆弱性です。
    この脆弱性の悪用により、マルウェアは特権を獲得します。

     

  • GooseEggの機能
    GooseEggの機能はアプリケーションの起動です。
    アプリケーションの起動機能ですので、複雑なものではありませんが、脆弱性を悪用することで特権を獲得しますので、このマルウェアから起動されるアプリケーションやDLLは特権で実行されます。
    攻撃者は、リモートコードの実行、バックドアのインストール、侵害されたネットワークの横方向移動が可能となります。

このマルウェアを展開する脅威アクターは、他にもいくつもの脆弱性の悪用をしていることが確認されています。

こういった脅威に対抗するためには、適切なタイミングでの修正の適用が有効といえます。
さらに、ドメインコントローラーの機能を提供する機器ではWindows印刷スプーラーサービスを無効にする、などの利用内容の分割による脅威発生確率の軽減も有効でしょう。
適切なシステムの設計と適切な運用によって被害にあう可能性を下げていきましょう。

参考記事(外部リンク):Analyzing Forest Blizzard’s custom post-compromise tool for
exploiting CVE-2022-38028 to obtain credentials

www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。