Pesquisadores da Microsoft descobriram uma nova ferramenta no arsenal dos hackers ligados ao governo da Rússia que permitiu que obtivessem acesso privilegiado a sistemas, roubassem credenciais e fizessem movimentos laterais dentro de redes comprometidas. Apelidado de malware GooseEgg, a sofisticada ferramenta possibilita explora uma vulnerabilidade identificada como CVE-2022-38028 no serviço Windows Print Spooler, responsável por gerenciar processos de impressão.
A fabricante de software corrigiu a vulnerabilidade que concedia privilégios de administrador de sistema aos invasores em seu Patch Tuesday de outubro de 2022 e afirmaou que a exploração do bug é “mais provável”. Ela não sinalizou a falha como explorada ativamente na sua avaliação.
O GooseEgg é usado exclusivamente por um grupo que a gigante da tecnologia rastreia como Forest Blizzard, que os governos dos Estados Unidos e do Reino Unido ligam estreitamente à Unidade 26165 da agência de inteligência militar da Rússia, a General Staff Main Intelligence Directorate (GRU)
Ao obter acesso a um dispositivo alvo, o Forest Blizzard usou o GooseEgg para aumentar os privilégios na rede. Embora o próprio GooseEgg funcione como um aplicativo inicializador básico, ele permite que invasores executem código remoto, implantem backdoors e atravessem redes comprometidas lateralmente. Ele também explora outras vulnerabilidades, incluindo o CVE-2023-23397, que afeta todas as versões do software Microsoft Outlook em dispositivos Windows e é conhecida por ser explorada.
Veja isso
Malware LemonDuck agora remove controles de segurança
Malware Qakbot volta a atacar 3 meses após ter sido desmantelado
Em um aviso em dezembro, a Microsoft alertou que o Forest Blizzard estava aproveitando o bug do Microsoft Outlook para acessar contas de e-mail nos servidores Microsoft Exchange desde abril de 2022.
O Forest Blizzard tem como alvo principal organizações governamentais, empresas de energia, educacionais, de transporte e não-governamentais nos Estados Unidos, Europa, Ucrânia e Oriente Médio, mas a Microsoft disse ter observado a mudança de foco dos hackers GRU para mídia, tecnologia da informação, organizações esportivas e instituições educacionais em todo o mundo.
Acesse o relatório completo da Microsoft sobre o malware GooseEgg clicando aqui.
