GooseEgg: A nova ferramenta de hackers russos
3 de Junho de 2024

Pesquisadores da Microsoft identificaram uma ferramenta avançada utilizada por hackers vinculados ao governo russo, que tem permitido a esses indivíduos obter acesso privilegiado a sistemas, subtrair credenciais e realizar movimentos laterais em redes comprometidas.

Nomeada de malware GooseEgg, esta ferramenta explora uma vulnerabilidade conhecida como CVE-2022-38028 localizada no serviço Windows Print Spooler, que é encarregado de gerir processos de impressão.

A empresa responsável pelo software tratou de corrigir a vulnerabilidade, que oferecia aos invasores privilégios de administrador do sistema, em seu Patch Tuesday de outubro de 2022 e mencionou que a exploração deste bug é "altamente provável".

Contudo, não indicou a falha como sendo ativamente explorada em sua análise.

O GooseEgg é empregado unicamente por um grupo que a gigante da tecnologia monitora sob o nome de Forest Blizzard, associado de perto às autoridades dos Estados Unidos e do Reino Unido com a Unidade 26165 da agência de inteligência militar russa, a General Staff Main Intelligence Directorate (GRU).

Após ganhar acesso a um dispositivo alvo, o Forest Blizzard utiliza o GooseEgg para elevar os privilégios na rede.

Embora o próprio GooseEgg opere basicamente como um aplicativo lançador inicial, ele possibilita aos invasores executar código remoto, instalar backdoors e navegar por redes comprometidas lateralmente.

Este também explora outras vulnerabilidades, incluindo a CVE-2023-23397 , que afeta todas as versões do software Microsoft Outlook em dispositivos Windows e é sabidamente explorada.

Em um alerta emitido em dezembro, a Microsoft informou que o Forest Blizzard estava se valendo da vulnerabilidade do Microsoft Outlook para acessar contas de e-mail em servidores do Microsoft Exchange desde abril de 2022.

O principal alvo do Forest Blizzard são organizações governamentais, empresas de energia, instituições educacionais, de transporte e organizações não governamentais nos Estados Unidos, Europa, Ucrânia e Oriente Médio.

No entanto, a Microsoft observou que o foco dos hackers da GRU tem se deslocado para meios de comunicação, tecnologia da informação, organizações esportivas e instituições educacionais ao redor do globo.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...