Programari maliciós GooseEgg

Els analistes de ciberseguretat han descobert una eina amenaçadora utilitzada pels pirates informàtics russos recolzats per l'estat per obtenir credencials sensibles dins de xarxes compromeses. Anomenat GooseEgg, aquest programari maliciós aprofita una vulnerabilitat identificada com CVE-2022-38028 dins del servei Windows Print Spooler, responsable de gestionar les tasques d'impressió alterant un fitxer de restriccions de JavaScript i executant-lo amb permisos a nivell de SISTEMA. Els analistes assenyalen que GooseEgg sembla ser exclusiu d'un grup APT (Amenaça persistent avançada) conegut com APT28 , afiliat al braç d'intel·ligència militar de Rússia, el GRU.

Segons les conclusions, APT28, també reconegut com a Fancy Bear i Forest Blizzard, ha desplegat aquest programari maliciós des d'almenys el juny de 2020, dirigint-se a diversos sectors, com ara institucions estatals, ONG, establiments educatius i entitats de transport d'Ucraïna, Europa occidental i del nord. Amèrica.

El programari maliciós GooseEgg permet als cibercriminals augmentar el seu atac

APT28 té com a objectiu aconseguir un accés elevat als sistemes objectiu i robar credencials i informació sensible mitjançant el desplegament de GooseEgg. Generalment desplegat amb un script per lots, GooseEgg, tot i ser una aplicació de llançament senzilla, té la capacitat d'iniciar altres aplicacions especificades amb permisos elevats, tal com s'indica a través de la línia d'ordres. Això permet als actors de les amenaces perseguir diversos objectius, com ara l'execució remota de codi, la instal·lació de la porta posterior i el moviment lateral dins de xarxes compromeses.

El binari GooseEgg facilita les ordres per activar l'explotació i llançar una biblioteca d'enllaços dinàmics (DLL) proporcionada o un executable amb privilegis elevats. A més, verifica l'activació correcta de l'explotació mitjançant l'ordre 'whoami'.

Tot i que la fallada de seguretat de Print Spooler es va corregir el 2022, es recomana als usuaris i organitzacions que encara no han implementat aquestes solucions que ho facin ràpidament per reforçar la postura de seguretat de la seva organització.

APT28 segueix sent un actor clau en l'escena del cibercrim

Es creu que l'APT28 té vincles amb la Unitat 26165 de l'agència d'intel·ligència militar de la Federació Russa, la Direcció Principal d'Intel·ligència de l'Estat Major de les Forces Armades de la Federació Russa (GRU). Funcionant durant gairebé 15 anys, aquest grup de pirateria, recolzat pel Kremlin, se centra principalment en la recollida d'intel·ligència per donar suport als objectius de política exterior del govern rus.

En campanyes anteriors, els pirates informàtics APT28 han explotat una vulnerabilitat d'escalada de privilegis a Microsoft Outlook (CVE-2023-23397) i un error d'execució de codi a WinRAR (CVE-2023-38831), demostrant la seva capacitat per incorporar explotacions públiques a les seves operacions ràpidament.

Els pirates informàtics afiliats al GRU solen centrar els seus esforços en actius d'intel·ligència estratègica, incloses entitats governamentals, empreses energètiques, sectors del transport i organitzacions no governamentals d'Orient Mitjà, EUA i Europa. A més, els investigadors han observat casos d'APT28 dirigits a mitjans de comunicació, empreses de tecnologia de la informació, organitzacions esportives i institucions educatives.