El actor de amenaza al Estado-nación vinculado a Rusia rastreado como APT28 Utilizó como arma una falla de seguridad en el componente Print Spooler de Microsoft Windows para entregar un malware personalizado previamente desconocido llamado GooseEgg.
La herramienta posterior al compromiso, que se dice que se ha utilizado desde al menos junio de 2020 y posiblemente ya en abril de 2019, aprovechó una falla ahora parcheada que permitía la escalada de privilegios (CVE-2022-38028, puntuación CVSS: 7,8).
Fue dirigido por Microsoft como parte de las actualizaciones publicadas en octubre de 2022, y a la Agencia de Seguridad Nacional de EE. UU. (NSA) se le atribuye haber informado de la falla en ese momento.
Según nuevos hallazgos del equipo de inteligencia de amenazas del gigante tecnológico, APT28 – también llamado Fancy Bear y Forest Blizzard (anteriormente Strontium) – utilizó el virus como arma en ataques dirigidos a organizaciones gubernamentales, no gubernamentales, de educación y de transporte de Ucrania, Europa occidental y América del Norte.
«Forest Blizzard ha utilizado la herramienta […] para explotar la vulnerabilidad CVE-2022-38028 en el servicio Print Spooler de Windows modificando un Archivo de restricciones de JavaScript y ejecutarlo con permisos a nivel de SISTEMA», la empresa dicho.
«Si bien es una aplicación de inicio simple, GooseEgg es capaz de generar otras aplicaciones especificadas en la línea de comando con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como la ejecución remota de código, la instalación de una puerta trasera y el movimiento lateral a través de redes comprometidas. «
Se considera que Forest Blizzard está afiliado a la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa, la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).
Activo desde hace casi 15 años, las actividades del grupo de piratería respaldado por el Kremlin están orientadas predominantemente a la recopilación de inteligencia en apoyo de las iniciativas de política exterior del gobierno ruso.
En los últimos meses, los hackers de APT28 también han abusado una falla de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9,8) y un error de ejecución de código en WinRAR (CVE-2023-38831, puntuación CVSS: 7,8), lo que indica su capacidad para adoptar rápidamente exploits públicos en su oficio .
«El objetivo de Forest Blizzard al implementar GooseEgg es obtener acceso elevado a los sistemas de destino y robar credenciales e información», dijo Microsoft. «GooseEgg normalmente se implementa con un secuencia de comandos por lotes«.
El binario GooseEgg admite comandos para activar el exploit e iniciar una biblioteca de vínculos dinámicos (DLL) proporcionada o un ejecutable con permisos elevados. También verifica si el exploit se ha activado correctamente mediante el comando whoami.
La divulgación se produce cuando IBM X-Force reveló nuevos ataques de phishing orquestados por el actor gamaredón (también conocido como Aqua Blizzard, Hive0051 y UAC-0010) dirigido a Ucrania y Polonia que ofrecen nuevas iteraciones del malware GammaLoad –
- GammaLoad.VBS, que es una puerta trasera basada en VBS que inicia la cadena de infección
- GammaStager, que se utiliza para descargar y ejecutar una serie de cargas útiles VBS codificadas en Base64.
- GammaLoadPlus, que se utiliza para ejecutar cargas útiles .EXE
- GammaInstall, que sirve como cargador para una conocida puerta trasera de PowerShell denominada GammaSteel.
- GammaLoad.PS, una implementación PowerShell de GammaLoad
- GammaLoadLight.PS, una variante de PowerShell que contiene código para difundir la propagación a dispositivos USB conectados
- GammaInfo, un script de enumeración basado en PowerShell que recopila información diversa del host
- GammaSteel, un malware basado en PowerShell para extraer archivos de una víctima según una lista de extensiones permitidas
«Hive0051 rota la infraestructura a través de flujo de DNS sincronizado a través de múltiples canales, incluidos Telegram, Telegraph y Filetransfer.io», investigadores de IBM X-Force dicho a principios de este mes, afirmó que «apunta a una elevación potencial en los recursos de los actores y la capacidad dedicada a las operaciones en curso».
«Es muy probable que el despliegue constante de nuevas herramientas, capacidades y métodos de entrega por parte de Hive0051 facilite un ritmo de operaciones acelerado».