GooseEgg Malware

Gli analisti della sicurezza informatica hanno scoperto uno strumento minaccioso utilizzato dagli hacker sostenuti dallo stato russo per ottenere credenziali sensibili all’interno di reti compromesse. Soprannominato GooseEgg, questo malware sfrutta una vulnerabilità identificata come CVE-2022-38028 all'interno del servizio Windows Print Spooler, responsabile della gestione delle attività di stampa alterando un file di vincoli JavaScript ed eseguendolo con autorizzazioni a livello di SISTEMA. Gli analisti notano che GooseEgg sembra essere esclusivo di un gruppo APT (Advanced Persistent Threat) noto come APT28 , affiliato al braccio di intelligence militare russo, il GRU.

Secondo i risultati, APT28, noto anche come Fancy Bear e Forest Blizzard, ha distribuito questo malware almeno da giugno 2020, prendendo di mira vari settori, tra cui istituzioni statali, ONG, istituti scolastici ed enti di trasporto in Ucraina, Europa occidentale e Nord Europa. America.

Il malware GooseEgg consente ai criminali informatici di intensificare i loro attacchi

APT28 mira a ottenere un accesso elevato ai sistemi target e a rubare credenziali e informazioni sensibili attraverso l'implementazione di GooseEgg. Solitamente distribuito con uno script batch, GooseEgg, nonostante sia una semplice applicazione di avvio, possiede la capacità di avviare altre applicazioni specificate con autorizzazioni elevate, come comandato tramite la riga di comando. Ciò consente agli autori delle minacce di perseguire vari obiettivi successivi, tra cui l’esecuzione di codice remoto, l’installazione di backdoor e lo spostamento laterale all’interno delle reti compromesse.

Il binario GooseEgg facilita i comandi per attivare l'exploit e avviare una libreria a collegamento dinamico (DLL) fornita o un eseguibile con privilegi elevati. Inoltre, verifica l'avvenuta attivazione dell'exploit utilizzando il comando "whoami".

Sebbene la falla di sicurezza nello spooler di stampa sia stata corretta nel 2022, si consiglia vivamente agli utenti e alle organizzazioni che devono ancora implementare queste correzioni di farlo tempestivamente per rafforzare il livello di sicurezza della propria organizzazione.

APT28 rimane un attore chiave della minaccia sulla scena del crimine informatico

Si ritiene che APT28 abbia legami con l'Unità 26165 dell'agenzia di intelligence militare della Federazione Russa, la direzione principale dell'intelligence dello Stato maggiore generale delle forze armate della Federazione Russa (GRU). Attivo da quasi 15 anni, questo gruppo di hacker, sostenuto dal Cremlino, si concentra principalmente sulla raccolta di informazioni per sostenere gli obiettivi di politica estera del governo russo.

Nelle campagne precedenti, gli hacker APT28 hanno sfruttato una vulnerabilità di escalation dei privilegi in Microsoft Outlook (CVE-2023-23397) e un difetto di esecuzione del codice in WinRAR (CVE-2023-38831), dimostrando la loro capacità di incorporare rapidamente exploit pubblici nelle loro operazioni.

Gli hacker affiliati al GRU in genere concentrano i loro sforzi su risorse di intelligence strategica, tra cui enti governativi, aziende energetiche, settori dei trasporti e organizzazioni non governative in Medio Oriente, Stati Uniti ed Europa. Inoltre, i ricercatori hanno notato casi di APT28 che prendevano di mira organi di informazione, aziende di tecnologia dell’informazione, organizzazioni sportive e istituzioni educative.