Pesquisadores da Microsoft identificaram uma nova ferramenta utilizada por hackers associados ao governo da Rússia, capaz de conferir-lhes acesso privilegiado a sistemas informatizados, além da habilidade para roubar credenciais e realizar movimentações laterais em redes que foram comprometidas.
Nomeado como malware GooseEgg, essa ferramenta avançada explora uma vulnerabilidade específica, de código
CVE-2022-38028
, encontrada no serviço Windows Print Spooler, o qual é encarregado pela administração dos processos de impressão.
A Microsoft já realizou a correção dessa vulnerabilidade, que possibilitava aos atacantes obter privilégios de administrador do sistema, em seu Patch Tuesday de outubro de 2022.
A empresa também destacou que a exploração desse bug é "bastante provável", apesar de não ter marcado a falha como sendo ativamente explorada na sua avaliação.
O GooseEgg é utilizado de maneira exclusiva por um grupo que a gigante da tecnologia monitora como Forest Blizzard, entidade essa que os governos dos Estados Unidos e do Reino Unido vinculam diretamente à Unidade 26165 da General Staff Main Intelligence Directorate (GRU), a agência de inteligência militar da Rússia.
Uma vez que o acesso a um dispositivo é conseguido, o Forest Blizzard se vale do GooseEgg para ampliar os privilégios na rede afetada.
Ainda que o próprio GooseEgg atue como um lançador de aplicativos simples, ele faculta aos invasores a execução de código remoto, a implantação de backdoors e a execução de movimentações laterais em redes comprometidas.
Ademais, ele também se vale de outras vulnerabilidades, como a
CVE-2023-23397
, que impacta todas as versões do software Microsoft Outlook em dispositivos Windows, tendo sido conhecida por sua exploração.
A Microsoft, em um comunicado em dezembro, alertou que o Forest Blizzard estava se aproveitando do bug do Microsoft Outlook para acessar contas de e-mail em servidores Microsoft Exchange desde abril de 2022.
O principal foco do Forest Blizzard são organizações governamentais, corporações do setor de energia, instituições educacionais, de transporte e organizações não governamentais nos Estados Unidos, Europa, Ucrânia e Oriente Médio.
Entretanto, a Microsoft observou uma mudança no direcionamento dos ataques do GRU para entidades de mídia, tecnologia da informação, organizações esportivas e instituições educacionais globalmente.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...