Malware GooseEgg vinculado al APT ruso Fancy Bear
APT28, un actor de amenazas vinculado a Rusia, utilizó una vulnerabilidad de seguridad en el componente Print Spooler de Microsoft Windows para implementar un nuevo malware personalizado llamado GooseEgg. Esta herramienta posterior al compromiso, operativa desde al menos junio de 2020 y potencialmente ya en abril de 2019, explotó una falla ahora parcheada que permitía la escalada de privilegios (CVE-2022-38028, puntuación CVSS: 7,8). Microsoft abordó este problema en actualizaciones publicadas en octubre de 2022, con crédito para la Agencia de Seguridad Nacional de EE. UU. (NSA) por informarlo inicialmente.
Fancy Bear implementó GooseEgg contra varios objetivos
Según hallazgos recientes del equipo de inteligencia de amenazas de Microsoft, APT28 (también conocido como Fancy Bear y Forest Blizzard) utilizó esta vulnerabilidad en ataques dirigidos a organizaciones gubernamentales, no gubernamentales, de educación y de transporte en Ucrania, Europa occidental y América del Norte.
Forest Blizzard, que se cree que está asociado con la Unidad 26165 de la agencia de inteligencia militar rusa GRU, ha estado activo durante unos 15 años, centrándose principalmente en la recopilación de inteligencia para apoyar los objetivos de la política exterior rusa.
Los ataques anteriores de Fancy Bear
Además de GooseEgg, APT28 ha explotado otras vulnerabilidades, como una falla de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9,8) y un error de ejecución de código en WinRAR (CVE-2023-38831, puntuación CVSS: 7,8). ), demostrando su agilidad a la hora de incorporar hazañas públicas a sus tácticas.
El objetivo de implementar GooseEgg, según Microsoft, es obtener acceso elevado a los sistemas de destino y robar credenciales e información. El malware generalmente se implementa junto con un script por lotes y permite ejecutar comandos para activar el exploit e iniciar aplicaciones específicas con permisos elevados, verificando el éxito mediante comandos como whoami.