Investigadores de ciberseguridad de Microsoft alertaron sobre la herramienta maliciosa personalizada GooseEgg, usada por hakers rusos para explotar vulnerabilidades de Windows.
Ejemplo de esto fue la identificada en el servicio Print Spooler, con lo que consiguen ejecutar código en remoto e instalar puertas traseras para el robo de credenciales.
El grupo de hackers Forest Blizzard, al que también señalaron como Sofacy y Fancy Bear, está asociado con la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa.
INTEGRAN LA DIRECCIÓN PRINCIPAL DE INTELIGENCIA RUSA
Es decir, forman parte de la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).
Asimismo, sus acciones se dirigen principalmente a organizaciones gubernamentales, energéticas y de transporte de países como Ucrania y Estados Unidos.
Sin embargo, también de países de Europa y Oriente Próximo.
No obstante, también se enfocan en medios de comunicación, instituciones educativas y organizaciones deportivas, a nivel global.
EL GRUPO ESTUVO ACTIVO HACE AL MENOS 14 AÑOS
En concreto, este grupo ha estado en activo desde, al menos, el año 2010 y su misión principal ha sido recopilar inteligencia en apoyo de las iniciativas de política exterior del Gobierno ruso.
Ahora, se ha dado a conocer un tipo de herramienta denominada como GooseEgg, utilizada por Forest Blizzard para explotar vulnerabilidades de Windows, como la del servicio Print Spooler.
Así lo ha compartido el equipo de investigadores de Microsoft Threat Intelligence, que ha publicado los resultados de su investigación sobre la actividad de este actor de amenazas con sede en Rusia.
En concreto, el servicio Print Spooler es el servicio de cola de impresión de Windows.
MICROSOFT Y UNA ACTUALIZACIÓN DE SEGURIDAD
Microsoft lanzó una actualización de seguridad para este servicio en 2022, de cara a corregir la vulnerabilidad identificada como CVE-2022-38028.
Al respecto, según la investigación de Microsoft, esta vulnerabilidad fue explotada por los hackers rusos Forest Blizzard a través de GooseEgg.
Este último fue utilizado para modificar un archivo de restricciones de JavaScript que, posteriormente, se ejecutó para obtener permisos de nivel de sistema.
ACTIVIDADES POSTERIORES CON FINES GUBERNAMENTALES
Así, según explicaron los investigadores de Microsoft, los actores pudieron realizar actividades posteriores contra fines gubernamentales.
Lograron esto mediante la ejecución de código en remoto, la instalación de una puerta trasera o el movimiento lateral a través de redes comprometidas.
Todo ello con el fin de robar credenciales e información de las organizaciones atacadas.
No obstante, la vulnerabilidad de Print Spooler no es la única afectada por estos ataques con GooseEgg.
DOS VULNERABILIDADES DEL SERVICIO PRINTNIGHTMARE
En esta línea, también localizaron su uso en dos vulnerabilidades del servicio PrintNightmare (CVE-2021-34527 y CVE-2021- 1675), que también fueron solucionadas por Microsoft en el año 2021.
De hecho, los investigadores han señalado que GooseEgg se ha estado utilizando, al menos, desde junio de 2020 y “posiblemente” desde abril de 2019.
De cara a evitar este tipo de ataques, los investigadores aconsejan a los usuarios y organizaciones que actualicen Print Spooler y PrintNightmare, en caso de que no lo hayan hecho ya.
EL OBJETIVO ES APLICAR LAS CORRECCIONES DE MICROSOFT
El principal objetivo entonces, es implementar las correcciones que lanzó Microsoft.
Asimismo, solicitaron que los clientes sigan los consejos de protección de credenciales mostradas en la descripción general del robo de credenciales local de Microsoft.
Así, se busca conocer cómo defenderse contra técnicas comunes de robo de credenciales. Finalmente, han aconsejado utilizar programas antivirus como Microsoft Defender.
Fuente: EP.