imágenes falsas
Los piratas informáticos respaldados por el Kremlin han estado explotando una vulnerabilidad crítica de Microsoft durante cuatro años en ataques dirigidos a una amplia gama de organizaciones con una herramienta previamente no documentada, reveló el fabricante de software el lunes.
Cuando Microsoft parchó la vulnerabilidad en octubre de 2022, al menos dos años después de que fuera atacada por piratas informáticos rusos, la empresa no mencionó que estaba bajo explotación activa. En el momento de su publicación, el aviso de la compañía aún no mencionaba los objetivos en estado salvaje. Los usuarios de Windows frecuentemente priorizan la instalación de parches en función de si es probable que una vulnerabilidad sea explotada en ataques del mundo real.
La explotación de CVE-2022-38028, a medida que se rastrea la vulnerabilidad, permite a los atacantes obtener privilegios del sistema, los más altos disponibles en Windows, cuando se combina con un exploit independiente. Explotar la falla, que tiene una calificación de gravedad de 7,8 sobre 10 posibles, requiere pocos privilegios existentes y poca complejidad. Reside en la cola de impresión de Windows, un componente de administración de impresoras que ha albergado anteriores días cero críticos. Microsoft dijo en ese momento que se enteró de la vulnerabilidad a través de la Agencia de Seguridad Nacional de Estados Unidos.
El lunes, Microsoft reveló que un grupo de piratas informáticos rastreado con el nombre de Forest Blizzard ha estado explotando CVE-2022-38028 desde al menos junio de 2020, y posiblemente desde abril de 2019. El grupo de amenazas, que también está rastreado con nombres que incluyen APT28, Sednit, Sofacy, Unidad 26165 del GRU y Fancy Bear han sido vinculados por los gobiernos de Estados Unidos y el Reino Unido con la Unidad 26165 de la Dirección Principal de Inteligencia, un brazo de inteligencia militar ruso más conocido como GRU. Forest Blizzard se centra en la recopilación de inteligencia mediante el pirateo de una amplia gama de organizaciones, principalmente en Estados Unidos, Europa y Oriente Medio.
Desde abril de 2019, Forest Blizzard ha estado explotando CVE-2022-38028 en ataques que, una vez adquiridos los privilegios del sistema, utilizan una herramienta previamente no documentada que Microsoft llama GooseEgg. El malware posterior a la explotación eleva los privilegios dentro de un sistema comprometido y proporciona una interfaz sencilla para instalar piezas adicionales de malware que también se ejecutan con privilegios del sistema. Este malware adicional, que incluye ladrones de credenciales y herramientas para moverse lateralmente a través de una red comprometida, se puede personalizar para cada objetivo.
“Si bien es una aplicación de inicio simple, GooseEgg es capaz de generar otras aplicaciones especificadas en la línea de comando con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como la ejecución remota de código, la instalación de una puerta trasera y el movimiento lateral a través de redes comprometidas. ”, escribieron funcionarios de Microsoft.
GooseEgg generalmente se instala mediante un script por lotes simple, que se ejecuta luego de la explotación exitosa de CVE-2022-38028 u otra vulnerabilidad, como CVE-2023-23397, que según el aviso del lunes también ha sido explotada por Forest Blizzard. El script es responsable de instalar el binario GooseEgg, a menudo llamado Justice.exe o DefragmentSrv.exe, y luego garantiza que se ejecuten cada vez que se reinicia la máquina infectada.