“Si bien es una aplicación de inicio simple, GooseEgg es capaz de generar otras aplicaciones especificadas en la línea de comando con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como la ejecución remota de código, la instalación de una puerta trasera y el movimiento lateral a través de redes comprometidas. ”, dijo la empresa.
Forest Blizzard ha utilizado GooseEgg como parte de actividades posteriores al compromiso contra objetivos que incluyen gobiernos de Ucrania, Europa occidental y América del Norte, organizaciones no gubernamentales, educación y transporte, según el informe.
Explotaciones ya en abril de 2019
Forest Blizzard, también rastreado como Fancy Bear, GRU Unit 26165, APT28, Sednit, Sofacy y STROTIUM, está activo desde 2010, recopilando inteligencia en apoyo de las iniciativas de política exterior del gobierno ruso. El actor de amenazas ha sido vinculado a la Unidad Militar GRU 26165, con objetivos globales pero con un enfoque predominante en entidades de EE. UU. y Europa.
“Forest Blizzard se centra principalmente en objetivos de inteligencia estratégica y se diferencia de otros grupos afiliados y patrocinados por GRU, a los que Microsoft ha vinculado con ataques destructivos, como Ventisca de conchas marinas (IRIDIO) y Cadete Blizzard (DEV-0586)”, dijo la empresa.
Microsoft Threat Intelligence evaluó que el objetivo de Forest Blizzard al implementar GooseEgg es obtener acceso a los sistemas de destino y robar información, desde al menos junio de 2020 y posiblemente ya en abril de 2019.
Además de los parches de octubre de 2022, Microsoft recomendó que los usuarios deshabiliten el servicio Windows Print Spooler para las operaciones del controlador de dominio, ejecuten la detección y respuesta de puntos finales (EDR) en modo de bloqueo, automaticen completamente el modo de investigación y corrección en Microsoft Defender y activen la entrega en la nube. protección en Defender Antivirus.