Pesquisadores da Microsoft identificaram uma ferramenta avançada utilizada por hackers vinculados ao governo russo, que tem permitido a esses indivíduos obter acesso privilegiado a sistemas, subtrair credenciais e realizar movimentos laterais em redes comprometidas.
Nomeada de malware GooseEgg, esta ferramenta explora uma vulnerabilidade conhecida como
CVE-2022-38028
localizada no serviço Windows Print Spooler, que é encarregado de gerir processos de impressão.
A empresa responsável pelo software tratou de corrigir a vulnerabilidade, que oferecia aos invasores privilégios de administrador do sistema, em seu Patch Tuesday de outubro de 2022 e mencionou que a exploração deste bug é "altamente provável".
Contudo, não indicou a falha como sendo ativamente explorada em sua análise.
O GooseEgg é empregado unicamente por um grupo que a gigante da tecnologia monitora sob o nome de Forest Blizzard, associado de perto às autoridades dos Estados Unidos e do Reino Unido com a Unidade 26165 da agência de inteligência militar russa, a General Staff Main Intelligence Directorate (GRU).
Após ganhar acesso a um dispositivo alvo, o Forest Blizzard utiliza o GooseEgg para elevar os privilégios na rede.
Embora o próprio GooseEgg opere basicamente como um aplicativo lançador inicial, ele possibilita aos invasores executar código remoto, instalar backdoors e navegar por redes comprometidas lateralmente.
Este também explora outras vulnerabilidades, incluindo a
CVE-2023-23397
, que afeta todas as versões do software Microsoft Outlook em dispositivos Windows e é sabidamente explorada.
Em um alerta emitido em dezembro, a Microsoft informou que o Forest Blizzard estava se valendo da vulnerabilidade do Microsoft Outlook para acessar contas de e-mail em servidores do Microsoft Exchange desde abril de 2022.
O principal alvo do Forest Blizzard são organizações governamentais, empresas de energia, instituições educacionais, de transporte e organizações não governamentais nos Estados Unidos, Europa, Ucrânia e Oriente Médio.
No entanto, a Microsoft observou que o foco dos hackers da GRU tem se deslocado para meios de comunicação, tecnologia da informação, organizações esportivas e instituições educacionais ao redor do globo.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...