Microsoft는 러시아 해커가 Windows Print Spooler를 표적으로 삼고 있다고 경고했습니다.

Microsoft는 러시아 관련 해킹 그룹이 Windows Print Spooler 소프트웨어의 취약점을 악용하기 위해 사용하는 새로운 도구에 대해 경고를 발표했습니다. 러시아 해커와 Microsoft 사이에는 다음과 같은 역사가 있었습니다. 이 와 이.

Forest Blizzard(APT28, Sednit, Sofacy 및 Fancy Bear라고도 함)로 알려진 해킹 그룹은 정보 수집 목적으로 정부, 에너지, 교통 및 비정부 조직(NGO)을 표적으로 삼아 왔습니다. Microsoft는 Forest Blizzard가 러시아의 GRU 정보 기관과 연결되어 있다고 믿고 있습니다.

GooseEgg라고 불리는 새로운 도구는 Windows Print Spooler 서비스(CVE-2022-38028)의 취약점을 악용하여 손상된 시스템에 대한 권한 있는 액세스 권한을 얻고 자격 증명을 훔칩니다. 이 취약점으로 인해 GooseEgg는 JavaScript 파일을 수정한 다음 높은 권한으로 실행할 수 있습니다.

Windows 인쇄 스풀러 서비스는 응용 프로그램과 프린터 사이의 중개자 역할을 합니다. 인쇄 작업을 관리하는 백그라운드에서 실행되는 소프트웨어 프로그램입니다. 프로그램과 프린터 사이의 원활한 실행을 유지합니다.

Microsoft는 조직이 자신을 보호하기 위해 몇 가지 조치를 취할 것을 권장합니다. 

• CVE-2022-38028(11년 2022월 8일) 및 이전 인쇄 스풀러 취약성(1년 2021월 XNUMX일 및 XNUMX월 XNUMX일)에 대한 보안 업데이트를 적용합니다.
• 도메인 컨트롤러에서 인쇄 스풀러 서비스를 비활성화하는 것을 고려하십시오(작동에 필요하지 않음).
• 자격 증명 강화 권장 사항을 구현합니다.
• 차단 기능이 있는 엔드포인트 탐지 및 대응(EDR)을 사용하세요.
• 바이러스 백신 소프트웨어에 대한 클라우드 제공 보호를 활성화합니다.
• Microsoft Defender XDR 공격 표면 감소 규칙을 활용합니다.

Microsoft Defender 바이러스 백신은 GooseEgg를 다음과 같이 감지합니다. HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint 및 Microsoft Defender XDR은 GooseEgg 배포와 관련된 의심스러운 활동도 식별할 수 있습니다.

이러한 위협에 대한 최신 정보를 얻고 권장 보안 조치를 구현함으로써 조직은 Forest Blizzard 및 기타 악의적인 행위자의 공격으로부터 스스로를 보호할 수 있습니다.

더 보기 여기에서 지금 확인해 보세요..