Microsoft advierte que el grupo de amenazas ruso APT28 está explotando una vulnerabilidad de Windows Print Spooler para escalar privilegios y robar credenciales y datos utilizando una herramienta de hacking previamente desconocida llamada GooseEgg.
APT28 ha estado utilizando esta herramienta para explotar la vulnerabilidad CVE-2022-38028 «desde al menos junio de 2020 y posiblemente desde abril de 2019.»
Redmond parcheó la vulnerabilidad reportada por la Agencia de Seguridad Nacional de Estados Unidos en el Microsoft Patch Tuesday de octubre de 2022, pero aún no la ha etiquetado como explotada activamente en su aviso.
Los hackers militares, parte de la Unidad Militar 26165 de la Dirección Principal de Inteligencia del Estado Mayor ruso (GRU), están utilizando GooseEgg para lanzar y desplegar otras cargas útiles maliciosas y ejecutar varios comandos con privilegios a nivel de SISTEMA.
Microsoft ha observado que los atacantes dejan caer esta herramienta posterior al compromiso en forma de un script por lotes de Windows llamado «execute.bat» o «doit.bat», que lanza un ejecutable GooseEgg y gana persistencia en el sistema comprometido añadiendo una tarea programada que lanza «servtask.bat», un segundo script por lotes escrito en el disco.
También utilizan GooseEgg para soltar un archivo DLL malicioso incrustado (en algunos casos llamado «wayzgoose23.dll») en el contexto del servicio PrintSpooler con permisos SYSTEM.
Esta DLL es en realidad un lanzador de aplicaciones que puede ejecutar otras cargas útiles con permisos a nivel de SISTEMA y permite a los atacantes desplegar puertas traseras, moverse lateralmente en las redes de las víctimas y ejecutar código de forma remota en los sistemas vulnerados.
«Microsoft ha observado que Forest Blizzard utiliza GooseEgg en actividades posteriores al ataque contra objetivos tales como organizaciones gubernamentales, no gubernamentales, educativas y de transporte en Ucrania, Europa Occidental y Norteamérica», explica Microsoft.
«Aunque es una simple aplicación de lanzamiento, GooseEgg es capaz de generar otras aplicaciones especificadas en la línea de comandos con permisos elevados, lo que permite a los actores de amenazas apoyar cualquier objetivo posterior, como la ejecución remota de código, la instalación de puertas traseras y el movimiento lateral a través de redes comprometidas.»
Historial de ciberataques a gran escala
APT28, un gran grupo de hackers rusos, ha estado detrás de una serie de ciberataques de gran repercusión desde que surgió a mediados de la década de 2000.
Por ejemplo, hace un año, los servicios de inteligencia de EE.UU. y el Reino Unido advirtieron de que APT28 había explotado un router Cisco de día cero para desplegar el malware Jaguar Tooth, lo que le permitió recopilar información sensible de objetivos en EE.UU. y la UE.
Más recientemente, en febrero, un aviso conjunto emitido por el FBI, la NSA y socios internacionales advertía de que APT28 estaba utilizando routers Ubiquiti EdgeRouters pirateados para evitar ser detectados en sus ataques.
También se les ha relacionado en el pasado con la violación del Parlamento Federal alemán (Deutscher Bundestag) y con los hackeos del Comité Demócrata de Campaña del Congreso (DCCC) y del Comité Nacional Demócrata (DNC) antes de las elecciones presidenciales estadounidenses de 2016.
Dos años después, Estados Unidos acusó a miembros de APT28 por su implicación en los ataques al DNC y al DCCC, mientras que el Consejo de la Unión Europea también sancionó a miembros de APT28 en octubre de 2020 por el hackeo del Parlamento Federal alemán.