GooseEgg Malware

Analistas de segurança cibernética descobriram uma ferramenta ameaçadora utilizada por hackers apoiados pelo Estado russo para obter credenciais confidenciais em redes comprometidas. Apelidado de GooseEgg, esse malware aproveita uma vulnerabilidade identificada como CVE-2022-38028 no serviço Windows Print Spooler, responsável por gerenciar tarefas de impressão alterando um arquivo de restrições JavaScript e executando-o com permissões de nível SYSTEM. Os analistas observam que o GooseEgg parece ser exclusivo de um grupo APT (Advanced Persistent Threat) conhecido como APT28, afiliado ao braço de inteligência militar da Rússia, o GRU.

De acordo com as descobertas, o APT28 – também reconhecido como Fancy Bear e Forest Blizzard – tem implantado este malware desde pelo menos junho de 2020, visando vários setores, incluindo instituições estatais, ONGs, estabelecimentos de ensino e entidades de transporte em toda a Ucrânia, Europa Ocidental e Norte. América.

O GooseEgg Malware Permite que os Cibercriminosos Aumentem o Seu Ataque

O APT28 visa obter acesso elevado aos sistemas alvo e roubar credenciais e informações confidenciais por meio da implantação do GooseEgg. Normalmente implantado com um script em lote, o GooseEgg, apesar de ser um aplicativo inicializador simples, possui a capacidade de iniciar outros aplicativos especificados com permissões elevadas, conforme comandado pela linha de comando. Isso permite que os agentes de ameaças busquem vários objetivos subsequentes, incluindo execução remota de código, instalação de backdoor e movimentação lateral dentro de redes comprometidas.

O binário GooseEgg facilita comandos para ativar a exploração e iniciar uma biblioteca de vínculo dinâmico (DLL) fornecida ou um executável com privilégios elevados. Além disso, verifica a ativação bem-sucedida do exploit usando o comando ‘whoami’.

Embora a falha de segurança no Spooler de impressão tenha sido corrigida em 2022, os usuários e organizações que ainda não implementaram essas correções são fortemente aconselhados a fazê-lo imediatamente para reforçar a postura de segurança de suas organizações.

O APT28 Continua sendo um Autor-Chave deAmeaças no Cenário do Crime Cibernético

Acredita-se que o APT28 tenha ligações com a Unidade 26165 da agência de inteligência militar da Federação Russa, a Diretoria Principal de Inteligência do Estado-Maior General das Forças Armadas da Federação Russa (GRU). A operar há quase 15 anos, este grupo de hackers, apoiado pelo Kremlin, concentra-se principalmente na recolha de informações para apoiar os objectivos de política externa do governo russo.

Em campanhas anteriores, os hackers do APT28 exploraram uma vulnerabilidade de escalonamento de privilégios no Microsoft Outlook (CVE-2023-23397) e uma falha de execução de código no WinRAR (CVE-2023-38831), demonstrando sua capacidade de incorporar rapidamente explorações públicas em suas operações.

Os hackers afiliados ao GRU normalmente concentram os seus esforços em ativos de inteligência estratégica, incluindo entidades governamentais, empresas de energia, setores de transportes e organizações não governamentais em todo o Médio Oriente, EUA e Europa. Além disso, os investigadores observaram casos de APT28 visando meios de comunicação, empresas de tecnologia da informação, organizações desportivas e instituições educativas.