Los investigadores de Microsoft anunciaron que descubrieron una herramienta maliciosa utilizada por piratas informáticos respaldados por el gobierno ruso para robar credenciales en redes comprometidas.
El malware, llamado GooseEgg, explota la vulnerabilidad CVE-2022-38028 en el servicio Print Spooler de Windows, que gestiona el proceso de impresión. Según los investigadores, GooseEgg parece estar limitado a un grupo rastreado como Forest Blizzard, que está asociado con la agencia de inteligencia militar rusa GRU.
Según el informe, Forest Blizzard (también conocido como Fancy Bear, APT28) ha estado implementando malware contra agencias gubernamentales, organizaciones no gubernamentales, instituciones educativas y organizaciones de transporte en Ucrania, Europa occidental y América del Norte desde al menos junio de 2020.
“El uso de GooseEgg en la Operación Forest Blizzard es un descubrimiento único no reportado previamente por los proveedores de seguridad”, dijeron los investigadores.
Microsoft ha confirmado que Forest Blizzard utiliza GooseEgg para escalar privilegios dentro de la red después de obtener acceso al dispositivo de destino. Aunque GooseEgg en sí es una aplicación de inicio simple, los atacantes pueden usarla para realizar otras acciones como la ejecución remota de código, la instalación de puertas traseras y el movimiento lateral en redes comprometidas.
La empresa solucionó una falla de seguridad en su cola de impresión en 2022. “Se recomienda encarecidamente a los clientes que aún no hayan implementado estas correcciones que lo hagan lo antes posible por la seguridad de sus organizaciones”, dijo Microsoft.
Además de CVE-2022-38028, Forest Blizzard también explota otros errores como CVE-2023-23397, que afecta a todas las versiones del software Microsoft Outlook en dispositivos Windows.
A principios de diciembre, Microsoft advirtió que Forest Blizzard estaba intentando explotar un error en Microsoft Outlook a partir de abril de 2022 para obtener acceso no autorizado a cuentas de correo electrónico en los servidores de Microsoft Exchange.
Los piratas informáticos de GRU suelen atacar activos de inteligencia estratégicos, como gobiernos, energía, transporte y organizaciones no gubernamentales en Estados Unidos, Europa y Oriente Medio.
Microsoft también ha confirmado que Forest Blizzard se dirige a organizaciones de medios, empresas de tecnología de la información, organizaciones deportivas e instituciones educativas.
Para más información
futuro grabado
nube de inteligencia.
aprende más.
Fuente: https://therecord.media/russia-gru-malware-gooseegg-microsoft