Un informe reveló que hackers rusos explotaron la vulnerabilidad de Microsoft con un arma digital sofisticada

Desde 2019, el grupo criminal conocido como APT28 ha estado utilizando una herramienta no documentada

Guardar
La infiltración realizada por Forest
La infiltración realizada por Forest Blizzard abarca una preocupante gama de objetivos, evidenciando una amenaza global persistente en la ciberseguridad (Imagen Ilustrativa)

Microsoft alertó recientemente sobre las actividades de un sofisticado grupo de hackers respaldado por el Kremlin, identificado como APT28, que ha estado explotando una vulnerabilidad crítica en el Windows Print Spooler. Esta explotación, que permite a los atacantes escalar privilegios y robar credenciales y datos, ha sido realizada mediante una herramienta de hacking hasta ahora desconocida denominada GooseEgg.

Revelado por Microsoft, este grupo ha estado activo desde al menos junio de 2020 y, posiblemente, desde abril de 2019, aprovechando la vulnerabilidad CVE-2022-38028 informada por la Agencia de Seguridad Nacional de Estados Unidos (NSA) y reparada en octubre de 2022 durante el Microsoft October 2022 Patch Tuesday. Sin embargo, no se había indicado en los avisos de la empresa que estuviera siendo activamente explotada.

APT28, también conocido bajo varios nombres como Forest Blizzard, Sednit, Sofacy, Unidad 26165 del GRU, o Fancy Bear, ha sido vinculado por los gobiernos de Estados Unidos y el Reino Unido a la Unidad 26165 de la Dirección Principal de Inteligencia del ejército ruso, más conocida como GRU, reportó ArsTechnica.

Este grupo ha llevado a cabo múltiples y notorios ciberataques desde mediados de la década de 2000, dirigiendo sus esfuerzos hacia la recolección de inteligencia mediante el hackeo de una amplia gama de organizaciones, principalmente en Estados Unidos, Europa y Oriente Medio.

La herramienta GooseEgg permite a los atacantes obtener privilegios del sistema, los más altos disponibles en Windows: “A pesar de ser una simple aplicación de lanzamiento, este recurso digital es capaz de generar otras aplicaciones especificadas en la línea de comandos con permisos elevados”, señaló Microsoft.

Esto permite a los actores de amenazas apoyar cualquier objetivo secundario, como la ejecución de código remoto, la instalación de una puerta trasera y el movimiento lateral a través de redes comprometidas. GooseEgg, que se instala usando un simple script de lote, ha mostrado su capacidad para mantener la persistencia en los sistemas infectados, reiniciándose con cada arranque de la máquina comprometida.

El uso de dicha herramienta para desplegar un archivo DLL malicioso, en algunos casos denominado ‘wayzgoose23.dll’, dentro del contexto del servicio PrintSpooler con permisos del sistema, ha sido documentado.

Este archivo DLL funciona como un lanzador de aplicaciones que puede ejecutar otros payloads con permisos de nivel SYSTEM. Microsoft ha observado que Forest Blizzard utiliza GooseEgg en actividades post-compromiso contra objetivos, incluidas organizaciones gubernamentales y no gubernamentales, educativas y del sector del transporte en Ucrania, Europa Occidental y Norteamérica.

Los ataques enfocan en recolección
Los ataques enfocan en recolección de inteligencia en EE. UU., Europa y Medio Oriente. (REUTERS/Kacper Pempel)

Entre los ataques de alto perfil adjudicados a APT28 se encuentran la explotación de un zero-day en routers Cisco para desplegar el malware Jaguar Tooth hace un año, advirtió en su momento los servicios de inteligencia estadounidenses y del Reino Unido; más recientemente, en febrero, un aviso conjunto del FBI, la NSA y socios internacionales advirtieron que el grupo de hackers utilizó routers EdgeRouters de Ubiquiti hackeados para evadir detecciones en ataques.

Además, APT28 ha sido vinculado con el hackeo del Parlamento Federal Alemán (Deutscher Bundestag) y las infiltraciones en el Comité de Campaña Congresional Demócrata (DCCC) y el Comité Nacional Demócrata (DNC) antes de las elecciones presidenciales de Estados Unidos de 2016.

Miembros del grupo de hackers fueron acusados por Estados Unidos dos años después por su participación en los ataques al DNC y DCCC, mientras que el Consejo de la Unión Europea sancionó a miembros de APT28 en octubre de 2020 por el hackeo del Parlamento Federal Alemán.

Guardar

Últimas Noticias

Donald Trump nominó al empresario multimillonario, Tilman Fertitta, como embajador de Estados Unidos en Italia

“Es un hombre de negocios consumado, que ha fundado y construido una de las principales empresas de entretenimiento y bienes raíces de nuestro país, que emplea a aproximadamente 50.000 estadounidenses”, expresó el líder republicano en la red social Truth Social
Donald Trump nominó al empresario

Dos pilotos de la Armada de EEUU fueron derribados por “fuego amigo” en el Mar Rojo tras haber enfrentado un ataque hostil con drones y misiles por parte de los hutíes

“El crucero lanzamisiles USS Gettysburg, que forma parte del grupo de ataque del portaaviones USS Harry S. Truman, disparó erróneamente contra el F/A-18″, afirmó Comando Central de Estados Unidos (CENTCOM)
Dos pilotos de la Armada

Nueva York obligará a aseguradoras a cubrir terapia de gorro frío para pacientes con cáncer

La medida busca reducir el impacto emocional de la quimioterapia y facilitar el acceso a tratamientos que preservan el cabello durante el proceso oncológico
Nueva York obligará a aseguradoras

Donald Trump amenazó con exigir la devolución del Canal de Panamá por las “ridículas” tarifas que cobra el país centroamericano

El líder republicano destacó que Estados Unidos es el principal usuario del Canal, representando más del 70% de los tránsitos que se dirigen a puertos norteamericanos o parten de ellos
Donald Trump amenazó con exigir

Adolescente mató a su familia en Nuevo México tras oír voces; la policía difundió imágenes del lugar del crimen

El joven de 16 años confesó los homicidios tras llamar al 911 en la madrugada, entregándose sin oponer resistencia
Adolescente mató a su familia