Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo de ‘Pagar o Consentir’
Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo...
El actor de amenazas estatal vinculado a Rusia conocido como APT28 aprovechó una falla de seguridad en el componente de la cola de impresión de Microsoft Windows para distribuir un malware personalizado previamente desconocido llamado GooseEgg.
La herramienta de post-compromiso, que se dice que ha sido utilizada desde al menos junio de 2020 y posiblemente desde abril de 2019, aprovechó una falla ahora parcheada que permitía la escalada de privilegios (CVE-2022-38028, puntuación CVSS: 7.8).
Fue abordada por Microsoft como parte de las actualizaciones lanzadas en octubre de 2022, y la Agencia de Seguridad Nacional (NSA) de los Estados Unidos fue acreditada por informar sobre la falla en ese momento.
Según nuevos hallazgos del equipo de inteligencia de amenazas de la gigante tecnológica, APT28, también conocido como Fancy Bear y Forest Blizzard (anteriormente Strontium), armó la vulnerabilidad en ataques dirigidos a organizaciones gubernamentales, no gubernamentales, educativas y del sector del transporte en Ucrania, Europa Occidental y América del Norte.
«Forest Blizzard ha utilizado la herramienta […] para explotar la vulnerabilidad CVE-2022-38028 en el servicio de cola de impresión de Windows modificando un archivo de restricciones de JavaScript y ejecutándolo con permisos a nivel de SISTEMA», dijo la compañía.
«Aunque es una aplicación de lanzamiento simple, GooseEgg es capaz de iniciar otras aplicaciones especificadas en la línea de comandos con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como la ejecución remota de código, la instalación de un backdoor y el movimiento lateral a través de redes comprometidas.»
Se evalúa que Forest Blizzard está afiliado a la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa, la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).
Activo durante casi 15 años, las actividades del grupo de piratería respaldado por el Kremlin están predominantemente orientadas hacia la recolección de inteligencia en apoyo de las iniciativas de política exterior del gobierno ruso.
En los últimos meses, los hackers de APT28 también han abusado de una falla de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9.8) y un error de ejecución de código en WinRAR (CVE-2023-38831, puntuación CVSS: 7.8), lo que indica su capacidad para adoptar rápidamente exploits públicos en su modus operandi.
«El objetivo de Forest Blizzard al desplegar GooseEgg es obtener acceso elevado a los sistemas objetivo y robar credenciales e información», dijo Microsoft. «GooseEgg se despliega típicamente con un script por lotes«.
El binario de GooseEgg admite comandos para activar el exploit y lanzar ya sea una biblioteca de vínculos dinámicos (DLL) proporcionada o un ejecutable con permisos elevados. También verifica si el exploit se ha activado correctamente utilizando el comando whoami.
La divulgación llega mientras IBM X-Force reveló nuevos ataques de phishing orquestados por el actor Gamaredon (también conocido como Aqua Blizzard, Hive0051 y UAC-0010) dirigidos a Ucrania y Polonia que entregan nuevas iteraciones del malware GammaLoad:
«Hive0051 rota la infraestructura a través de flujo DNS sincronizado a través de múltiples canales incluyendo Telegram, Telegraph y Filetransfer.io», dijeron los investigadores de IBM X-Force a principios de este mes, afirmando que «apunta a un posible aumento en los recursos y la capacidad del actor dedicados a operaciones en curso».
«Es muy probable que la constante implementación de nuevas herramientas, capacidades y métodos de entrega de Hive0051 facilite un ritmo de operaciones acelerado.»
Tags :
Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo...
Expertos descubren una red de delincuencia cibernética china detrás de actividades de juego y...
Google abandona el plan de eliminar gradualmente las cookies de terceros en Chrome Luis...