GooseEgg

GooseEggは、ランチャー機能を搭載したマルウェアです。
このマルウェアそのものは新しいものではありませんが、継続的に使用されているものです。
どういったものでしょうか。

• 初期侵害
  なんらかの手法で、まずは侵害対象の環境にアクセスを入手します。
  この時点では、特権のあるユーザでのアクセスではなく、一般権限の状態です。

   

• CVE-2022-38028の悪用
  脆弱性を悪用し、特権昇格を実現します。
  CVE-2022-38028はWindows印刷スプーラーサービスの脆弱性です。
  この脆弱性の悪用により、マルウェアは特権を獲得します。

   

• GooseEggの機能
  GooseEggの機能はアプリケーションの起動です。
  アプリケーションの起動機能ですので、複雑なものではありませんが、脆弱性を悪用することで特権を獲得しますので、このマルウェアから起動されるアプリケーションやDLLは特権で実行されます。
  攻撃者は、リモートコードの実行、バックドアのインストール、侵害されたネットワークの横方向移動が可能となります。

このマルウェアを展開する脅威アクターは、他にもいくつもの脆弱性の悪用をしていることが確認されています。

こういった脅威に対抗するためには、適切なタイミングでの修正の適用が有効といえます。
さらに、ドメインコントローラーの機能を提供する機器ではWindows印刷スプーラーサービスを無効にする、などの利用内容の分割による脅威発生確率の軽減も有効でしょう。
適切なシステムの設計と適切な運用によって被害にあう可能性を下げていきましょう。

参考記事（外部リンク）：Analyzing Forest Blizzard’s custom post-compromise tool for
exploiting CVE-2022-38028 to obtain credentials
www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/