Microsoft: Hackers APT28 exploram falha no Windows reportada pela NSA
23 de Abril de 2024

A Microsoft alertou que o grupo de ameaça russo APT28 está explorando uma vulnerabilidade do Windows Print Spooler para escalar privilégios e roubar credenciais e dados usando uma ferramenta de hacking anteriormente desconhecida chamada GooseEgg.

O APT28 vem utilizando esta ferramenta para explorar a vulnerabilidade CVE-2022-38028 "desde pelo menos junho de 2020 e possivelmente desde abril de 2019."

A Microsoft corrigiu a vulnerabilidade reportada pela Agência de Segurança Nacional dos EUA durante o Patch Tuesday de outubro de 2022 da Microsoft, mas ainda não a marcou como ativamente explorada em seu aviso.

Os hackers militares, parte da Unidade Militar 26165 da Diretoria Principal de Inteligência do Estado-Maior Geral (GRU) da Rússia, usam o GooseEgg para lançar e implantar payloads maliciosos adicionais e executar vários comandos com privilégios de nível SYSTEM.

A Microsoft observou os atacantes despejando esta ferramenta pós-compromisso como um script de lote do Windows denominado 'execute.bat' ou 'doit.bat', que inicia um executável do GooseEgg e ganha persistência no sistema comprometido adicionando uma tarefa agendada que lança 'servtask.bat', um segundo script de lote escrito no disco.

Eles também usam o GooseEgg para soltar um arquivo DLL malicioso embutido (em alguns casos chamado 'wayzgoose23.dll') no contexto do serviço PrintSpooler com permissões de SYSTEM.

Esta DLL é, na verdade, um lançador de aplicativos que pode executar outros payloads com permissões de nível SYSTEM e permite que os atacantes implantem backdoors, movam-se lateralmente pelas redes das vítimas e executem código remoto nos sistemas violados.

"A Microsoft observou o Forest Blizzard usando o GooseEgg como parte de atividades pós-compromisso contra alvos que incluem organizações governamentais, não governamentais, de educação e de transporte da Ucrânia, Europa Ocidental e América do Norte," explica a Microsoft.

Embora seja uma simples aplicação de lançamento, o GooseEgg é capaz de gerar outras aplicações especificadas na linha de comando com permissões elevadas, permitindo que os atores de ameaças suportem quaisquer objetivos subsequentes, como execução de código remoto, instalação de um backdoor e movimentação lateral por redes comprometidas.

O APT28, um proeminente grupo de hacking russo, tem sido responsável por muitos ataques cibernéticos de alto perfil desde que apareceu pela primeira vez em meados dos anos 2000.

Por exemplo, há um ano, os serviços de inteligência dos EUA e do Reino Unido alertaram sobre o APT28 explorando um zero-day em roteadores da Cisco para implantar o malware Jaguar Tooth, que lhe permitiu colher informações sensíveis de alvos nos EUA e na UE.

Mais recentemente, em fevereiro, um aviso conjunto emitido pelo FBI, pela NSA e por parceiros internacionais advertiu que o APT28 usou EdgeRouters hackeados da Ubiquiti para evitar detecção em ataques.

Eles também foram ligados no passado à violação do Parlamento Federal Alemão (Deutscher Bundestag) e hacks do Comitê de Campanha Congressual Democrata (DCCC) e do Comitê Nacional Democrata (DNC) antes da Eleição Presidencial dos EUA de 2016.

Dois anos depois, os EUA acusaram membros do APT28 por seu envolvimento nos ataques ao DNC e DCCC, enquanto o Conselho da União Europeia também sancionou membros do APT28 em outubro de 2020 pelo hack do Parlamento Federal Alemão.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...