Software malicioso GooseEgg

Los analistas de ciberseguridad han descubierto una herramienta amenazante utilizada por piratas informáticos respaldados por el estado ruso para obtener credenciales confidenciales dentro de redes comprometidas. Apodado GooseEgg, este malware aprovecha una vulnerabilidad identificada como CVE-2022-38028 dentro del servicio Print Spooler de Windows, responsable de administrar las tareas de impresión alterando un archivo de restricciones de JavaScript y ejecutándolo con permisos a nivel de SISTEMA. Los analistas señalan que GooseEgg parece ser exclusivo de un grupo APT (Amenaza persistente avanzada) conocido como APT28 , afiliado al brazo de inteligencia militar de Rusia, el GRU.

Según los hallazgos, APT28, también reconocido como Fancy Bear y Forest Blizzard, ha estado implementando este malware desde al menos junio de 2020, dirigido a varios sectores, incluidas instituciones estatales, ONG, establecimientos educativos y entidades de transporte en Ucrania, Europa Occidental y el Norte. America.

El malware GooseEgg permite a los ciberdelincuentes intensificar sus ataques

APT28 tiene como objetivo lograr un acceso elevado a los sistemas de destino y robar credenciales e información confidencial mediante la implementación de GooseEgg. GooseEgg, que normalmente se implementa con un script por lotes, a pesar de ser una aplicación de inicio simple, posee la capacidad de iniciar otras aplicaciones específicas con permisos elevados, según lo ordenado a través de la línea de comando. Esto permite a los actores de amenazas perseguir diversos objetivos de seguimiento, incluida la ejecución remota de código, la instalación de puertas traseras y el movimiento lateral dentro de las redes comprometidas.

El binario GooseEgg facilita comandos para activar el exploit e iniciar una biblioteca de vínculos dinámicos (DLL) proporcionada o un ejecutable con privilegios elevados. Además, verifica la activación exitosa del exploit mediante el comando 'whoami'.

Aunque la falla de seguridad en Print Spooler se corrigió en 2022, se recomienda encarecidamente a los usuarios y organizaciones que aún no han implementado estas correcciones que lo hagan lo antes posible para reforzar la postura de seguridad de su organización.

APT28 sigue siendo un actor de amenazas clave en la escena del delito cibernético

Se cree que APT28 tiene vínculos con la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa, la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU). Operando desde hace casi 15 años, este grupo de piratería, respaldado por el Kremlin, se centra principalmente en la recopilación de inteligencia para apoyar los objetivos de política exterior del gobierno ruso.

En campañas anteriores, los piratas informáticos de APT28 explotaron una vulnerabilidad de escalada de privilegios en Microsoft Outlook (CVE-2023-23397) y una falla de ejecución de código en WinRAR (CVE-2023-38831), demostrando su capacidad para incorporar rápidamente exploits públicos en sus operaciones.

Los piratas informáticos afiliados al GRU suelen centrar sus esfuerzos en activos de inteligencia estratégica, incluidas entidades gubernamentales, empresas de energía, sectores de transporte y organizaciones no gubernamentales en todo Oriente Medio, Estados Unidos y Europa. Además, los investigadores han observado casos de APT28 dirigidos a medios de comunicación, empresas de tecnología de la información, organizaciones deportivas e instituciones educativas.