wmtech logo

APT28 de Rusia explotó una falla en el servicio de cola de impresión de Windows para desplegar el malware ‘GooseEgg’

Luis Quiles
Luis Quiles
printer
Agencia de Seguridad Nacional, Inteligencia de Amenazas

El actor de amenazas estatal vinculado a Rusia conocido como APT28 aprovechó una falla de seguridad en el componente de la cola de impresión de Microsoft Windows para distribuir un malware personalizado previamente desconocido llamado GooseEgg.

La herramienta de post-compromiso, que se dice que ha sido utilizada desde al menos junio de 2020 y posiblemente desde abril de 2019, aprovechó una falla ahora parcheada que permitía la escalada de privilegios (CVE-2022-38028, puntuación CVSS: 7.8).

Fue abordada por Microsoft como parte de las actualizaciones lanzadas en octubre de 2022, y la Agencia de Seguridad Nacional (NSA) de los Estados Unidos fue acreditada por informar sobre la falla en ese momento.

Según nuevos hallazgos del equipo de inteligencia de amenazas de la gigante tecnológica, APT28, también conocido como Fancy Bear y Forest Blizzard (anteriormente Strontium), armó la vulnerabilidad en ataques dirigidos a organizaciones gubernamentales, no gubernamentales, educativas y del sector del transporte en Ucrania, Europa Occidental y América del Norte.

«Forest Blizzard ha utilizado la herramienta […] para explotar la vulnerabilidad CVE-2022-38028 en el servicio de cola de impresión de Windows modificando un archivo de restricciones de JavaScript y ejecutándolo con permisos a nivel de SISTEMA», dijo la compañía.

«Aunque es una aplicación de lanzamiento simple, GooseEgg es capaz de iniciar otras aplicaciones especificadas en la línea de comandos con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como la ejecución remota de código, la instalación de un backdoor y el movimiento lateral a través de redes comprometidas.»

Se evalúa que Forest Blizzard está afiliado a la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa, la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).

Activo durante casi 15 años, las actividades del grupo de piratería respaldado por el Kremlin están predominantemente orientadas hacia la recolección de inteligencia en apoyo de las iniciativas de política exterior del gobierno ruso.

En los últimos meses, los hackers de APT28 también han abusado de una falla de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9.8) y un error de ejecución de código en WinRAR (CVE-2023-38831, puntuación CVSS: 7.8), lo que indica su capacidad para adoptar rápidamente exploits públicos en su modus operandi.

«El objetivo de Forest Blizzard al desplegar GooseEgg es obtener acceso elevado a los sistemas objetivo y robar credenciales e información», dijo Microsoft. «GooseEgg se despliega típicamente con un script por lotes«.

El binario de GooseEgg admite comandos para activar el exploit y lanzar ya sea una biblioteca de vínculos dinámicos (DLL) proporcionada o un ejecutable con permisos elevados. También verifica si el exploit se ha activado correctamente utilizando el comando whoami.

server

La divulgación llega mientras IBM X-Force reveló nuevos ataques de phishing orquestados por el actor Gamaredon (también conocido como Aqua Blizzard, Hive0051 y UAC-0010) dirigidos a Ucrania y Polonia que entregan nuevas iteraciones del malware GammaLoad:

  • GammaLoad.VBS, que es una puerta trasera basada en VBS que inicia la cadena de infección.
  • GammaStager, que se utiliza para descargar y ejecutar una serie de cargas útiles VBS codificadas en Base64.
  • GammaLoadPlus, que se utiliza para ejecutar cargas útiles .EXE.
  • GammaInstall, que sirve como cargador para una puerta trasera conocida en PowerShell denominada GammaSteel.
  • GammaLoad.PS, una implementación de PowerShell de GammaLoad.
  • GammaLoadLight.PS, una variante de PowerShell que contiene código para propagarse a sí mismo a dispositivos USB conectados.
  • GammaInfo, un script de enumeración basado en PowerShell que recopila varias informaciones del host.
  • GammaSteel, un malware basado en PowerShell para exfiltrar archivos de una víctima basado en una lista blanca de extensiones permitidas.

 

«Hive0051 rota la infraestructura a través de flujo DNS sincronizado a través de múltiples canales incluyendo Telegram, Telegraph y Filetransfer.io», dijeron los investigadores de IBM X-Force a principios de este mes, afirmando que «apunta a un posible aumento en los recursos y la capacidad del actor dedicados a operaciones en curso».

«Es muy probable que la constante implementación de nuevas herramientas, capacidades y métodos de entrega de Hive0051 facilite un ritmo de operaciones acelerado.»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.