GooseEgg: O novo arsenal de ciberataques
25 de Abril de 2024

Pesquisadores da Microsoft identificaram uma nova ferramenta utilizada por hackers associados ao governo da Rússia, capaz de conferir-lhes acesso privilegiado a sistemas informatizados, além da habilidade para roubar credenciais e realizar movimentações laterais em redes que foram comprometidas.

Nomeado como malware GooseEgg, essa ferramenta avançada explora uma vulnerabilidade específica, de código CVE-2022-38028 , encontrada no serviço Windows Print Spooler, o qual é encarregado pela administração dos processos de impressão.

A Microsoft já realizou a correção dessa vulnerabilidade, que possibilitava aos atacantes obter privilégios de administrador do sistema, em seu Patch Tuesday de outubro de 2022.

A empresa também destacou que a exploração desse bug é "bastante provável", apesar de não ter marcado a falha como sendo ativamente explorada na sua avaliação.

O GooseEgg é utilizado de maneira exclusiva por um grupo que a gigante da tecnologia monitora como Forest Blizzard, entidade essa que os governos dos Estados Unidos e do Reino Unido vinculam diretamente à Unidade 26165 da General Staff Main Intelligence Directorate (GRU), a agência de inteligência militar da Rússia.

Uma vez que o acesso a um dispositivo é conseguido, o Forest Blizzard se vale do GooseEgg para ampliar os privilégios na rede afetada.

Ainda que o próprio GooseEgg atue como um lançador de aplicativos simples, ele faculta aos invasores a execução de código remoto, a implantação de backdoors e a execução de movimentações laterais em redes comprometidas.

Ademais, ele também se vale de outras vulnerabilidades, como a CVE-2023-23397 , que impacta todas as versões do software Microsoft Outlook em dispositivos Windows, tendo sido conhecida por sua exploração.

A Microsoft, em um comunicado em dezembro, alertou que o Forest Blizzard estava se aproveitando do bug do Microsoft Outlook para acessar contas de e-mail em servidores Microsoft Exchange desde abril de 2022.

O principal foco do Forest Blizzard são organizações governamentais, corporações do setor de energia, instituições educacionais, de transporte e organizações não governamentais nos Estados Unidos, Europa, Ucrânia e Oriente Médio.

Entretanto, a Microsoft observou uma mudança no direcionamento dos ataques do GRU para entidades de mídia, tecnologia da informação, organizações esportivas e instituições educacionais globalmente.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...