Az Oroszországhoz köthető az APT28 csoport a Windows Print Spooler sérülékenységeit kihasználva egy egyedi poszt-exploitációs eszközt telepített, hogy célba vegyen számos amerikai, ukrajnai és nyugat-európai szervezetet. A közlemény szerint a támadások kormányzati, nem kormányzati, oktatási és közlekedési szervezeteket érintett, hogy megnövelt jogosultságokkal hitelesítési és egyéb adatokat lopjanak el a veszélyeztett rendszerekből.
A GooseEgg egy olyan egyszerű program, amely lehetővé teszi a támadók számára, hogy RCE-t hajtsanak végre, backdoort telepítsenek vagy oldalirányú mozgást végezzenek. A GooseEgg futtatásához az APT28 a CVE-2022-38028, CVE-2023-23397, CVE-2021-34527 és CVE-2021-1675 sérülékenységeket használta ki.
A Microsoft leírása szerint a malware registry kulcsokat készít, hogy egyéni protokoll kezelőt generáljon és új CLSID-t regisztráljon, amely később a COM szervereként fog működni. A C: meghajtó szimbolikus hivatkozását úgy cseréli ki az objektumkezelőben, hogy az egy olyan könyvtárra mutasson, amely a Print Spooler szolgáltatás számára szükségesen betöltendő illesztőprogram-csomagokat tartalmazza.
A techcég arra biztatja ügyfeleit, hogy aki még nem tette, minél előbb alkalmazza a Print Spooler sérülékenységeinek 2022-es biztonsági frissítését, továbbá a PrintNightmare sérülékenységeinek 2021-es patchét. Kiadtak továbbá egy több IoC-ből álló listát a megfigyelt támadások alapján, hogy segítsék a szervezeteket felismerni a potenciális GooseEgg támadásokat.
