Malware GooseEgg collegato all'APT russo Fancy Bear
APT28, un attore di minacce legato alla Russia, ha utilizzato una vulnerabilità di sicurezza nel componente Print Spooler di Microsoft Windows per distribuire un nuovo malware personalizzato denominato GooseEgg. Questo strumento post-compromesso, operativo almeno da giugno 2020 e potenzialmente già da aprile 2019, sfruttava un difetto ora corretto che consentiva l'escalation dei privilegi (CVE-2022-38028, punteggio CVSS: 7,8). Microsoft ha risolto questo problema negli aggiornamenti rilasciati nell'ottobre 2022, dando credito alla National Security Agency (NSA) degli Stati Uniti per averlo inizialmente segnalato.
Fancy Bear ha schierato GooseEgg contro vari obiettivi
Secondo recenti scoperte del team di intelligence sulle minacce di Microsoft, APT28 (noto anche come Fancy Bear e Forest Blizzard) ha utilizzato questa vulnerabilità in attacchi contro organizzazioni governative, non governative, del settore dell'istruzione e dei trasporti in Ucraina, Europa occidentale e Nord America.
Forest Blizzard, ritenuto associato all'Unità 26165 dell'agenzia di intelligence militare russa GRU, è attivo da circa 15 anni, concentrandosi principalmente sulla raccolta di informazioni a sostegno degli obiettivi di politica estera russa.
Attacchi precedenti di Fancy Bear
Oltre a GooseEgg, APT28 ha sfruttato altre vulnerabilità, come un difetto di escalation dei privilegi in Microsoft Outlook (CVE-2023-23397, punteggio CVSS: 9,8) e un bug di esecuzione del codice in WinRAR (CVE-2023-38831, punteggio CVSS: 7,8 ), dimostrando la loro agilità nell'incorporare exploit pubblici nelle loro tattiche.
L'obiettivo dell'implementazione di GooseEgg, secondo Microsoft, è ottenere un accesso elevato ai sistemi di destinazione e rubare credenziali e informazioni. Il malware viene generalmente distribuito insieme a uno script batch e consente di eseguire comandi per attivare l'exploit e avviare applicazioni specifiche con autorizzazioni elevate, verificando il successo tramite comandi come whoami.
