GooseEgg: a nova arma de grupos hackers ligados ao Kremlin

Malware é utilizado exclusivamente por um grupo conhecido como Forest Blizzard, associado pelos governos dos EUA e do Reino Unido à agência de inteligência militar da Rússia, a General Staff Main Intelligence Directorate (GRU)
Da Redação
24/04/2024

Pesquisadores da Microsoft descobriram uma nova ferramenta no arsenal dos hackers ligados ao governo da Rússia que permitiu que obtivessem acesso privilegiado a sistemas, roubassem credenciais e fizessem movimentos laterais dentro de redes comprometidas. Apelidado de malware GooseEgg, a sofisticada ferramenta possibilita explora uma vulnerabilidade identificada como CVE-2022-38028 no serviço Windows Print Spooler, responsável por gerenciar processos de impressão.

A fabricante de software corrigiu a vulnerabilidade que concedia privilégios de administrador de sistema aos invasores em seu Patch Tuesday de outubro de 2022 e  afirmaou que a exploração do bug é “mais provável”. Ela não sinalizou a falha como explorada ativamente na sua avaliação.

O GooseEgg é usado exclusivamente por um grupo que a gigante da tecnologia rastreia como Forest Blizzard, que os governos dos Estados Unidos e do Reino Unido ligam estreitamente à Unidade 26165 da agência de inteligência militar da Rússia, a General Staff Main Intelligence Directorate (GRU) 

Ao obter acesso a um dispositivo alvo, o Forest Blizzard usou o GooseEgg para aumentar os privilégios na rede. Embora o próprio GooseEgg funcione como um aplicativo inicializador básico, ele permite que invasores executem código remoto, implantem backdoors e atravessem redes comprometidas lateralmente. Ele também explora outras vulnerabilidades, incluindo o CVE-2023-23397, que afeta todas as versões do software Microsoft Outlook em dispositivos Windows e é conhecida por ser explorada. 

Veja isso
Malware LemonDuck agora remove controles de segurança
Malware Qakbot volta a atacar 3 meses após ter sido desmantelado

Em um aviso em dezembro, a Microsoft alertou que o Forest Blizzard estava aproveitando o bug do Microsoft Outlook para acessar contas de e-mail nos servidores Microsoft Exchange desde abril de 2022.

O Forest Blizzard tem como alvo principal organizações governamentais, empresas de energia, educacionais, de transporte e não-governamentais nos Estados Unidos, Europa, Ucrânia e Oriente Médio, mas a Microsoft disse ter observado a mudança de foco dos hackers GRU para mídia, tecnologia da informação, organizações esportivas e instituições educacionais em todo o mundo.

Acesse o relatório completo da Microsoft sobre o malware GooseEgg clicando aqui.

Compartilhar:

Últimas Notícias