El grupo de amenazas vinculado a Rusia, APT28, utilizó una vulnerabilidad en Windows Print Spooler de Microsoft para distribuir un malware personalizado llamado GooseEgg. La vulnerabilidad que explotaron permitió la escalada de privilegios (CVE-2022-38028, puntaje CVSS: 7.8), la cual fue parcheada por Microsoft en octubre de 2022 después de ser reportada por la Agencia de Seguridad Nacional de EE. UU.
APT28, también conocido como Fancy Bear y Forest Blizzard, aprovechó esta falla en ataques dirigidos a organizaciones gubernamentales, no gubernamentales, educativas y del sector del transporte en varios países. Según los hallazgos de la gran empresa tecnológica, estos ataques fueron dirigidos a entidades en Ucrania, Europa Occidental y América del Norte.
Forest Blizzard, vinculado a la agencia de inteligencia militar rusa, ha utilizado GooseEgg para aprovechar la vulnerabilidad CVE-2022-38028. Esta aplicación tiene la capacidad de generar otras aplicaciones con permisos elevados, lo que permite a los actores malintencionados llevar a cabo actividades como la ejecución de código remoto, la instalación de un backdoor y el movimiento lateral a través de redes comprometidas.
El malware GooseEgg, empleado por Forest Blizzard, tiene como objetivo acceder a sistemas objetivo y robar credenciales e información. Recientemente, APT28 ha abusado de vulnerabilidades en Microsoft Outlook (CVE-2023-23397) y WinRAR (CVE-2023-38831), lo que destaca su capacidad para adaptarse rápidamente a exploits públicos en sus operaciones.
Además, se han revelado nuevos ataques de phishing orquestados por el actor Gamaredon dirigidos a Ucrania y Polonia que entregan nuevas iteraciones del malware GammaLoad. Estos ataques incluyen diversas variantes de malware, cada una con diferentes objetivos y formas de propagación.
El constante despliegue de nuevas herramientas, capacidades y métodos de entrega por parte de estos grupos de amenazas sugiere un ritmo acelerado de operaciones y un aumento en los recursos y la capacidad dedicados a las actividades maliciosas en curso.
Vía The Hacker News
