Investigadores de ciberseguridad de Microsoft han advertido sobre la herramienta maliciosa personalizada GooseEgg, utilizada por el grupo de hackers rusos Forest Blizzard para explotar vulnerabilidades de Windows, como la identificada en el servicio Print Spooler, con lo que consiguen ejecutar código en remoto e instalar puertas traseras para el robo de credenciales.
MIRA: La trampa del quishing: ¿cómo identificar y evitar estafas con códigos QR? Los consejos de los expertos en ciberseguridad
El grupo de hackers Forest Blizzard, al que los investigadores también se han referido como Sofacy y Fancy Bear, está asociado con la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa. Es decir, forman parte de la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).
Asimismo, sus acciones se dirigen principalmente a organizaciones gubernamentales, energéticas y de transporte de países como Ucrania y Estados Unidos, pero también de países de Europa y Oriente Próximo. No obstante, también se enfocan en medios de comunicación, instituciones educativas y organizaciones deportivas, a nivel global.
En concreto, este grupo ha estado en activo desde, al menos, el año 2010 y su misión principal ha sido recopilar inteligencia en apoyo de las iniciativas de política exterior del Gobierno ruso. Ahora, se ha dado a conocer un tipo de herramienta denominada como GooseEgg, utilizada por Forest Blizzard para explotar vulnerabilidades de Windows, como la del servicio Print Spooler.
Así lo ha compartido el equipo de investigadores de Microsoft Threat Intelligence, que ha publicado los resultados de su investigación sobre la actividad de este actor de amenazas con sede en Rusia.
En concreto, el servicio Print Spooler es el servicio de cola de impresión de Windows. Microsoft lanzó una actualización de seguridad para este servicio en 2022, de cara a corregir la vulnerabilidad identificada como CVE-2022-38028.
Al respecto, según la investigación de Microsoft, esta vulnerabilidad fue explotada por los hackers rusos Forest Blizzard a través de GooseEgg, que se utilizó para modificar un archivo de restricciones de JavaScript que, posteriormente, se ejecutó para obtener permisos de nivel de sistema.
De esta forma, según han explicado los investigadores de Microsoft, los actores pudieron realizar actividades posteriores contra objetivos gubernamentales con la ejecución de código en remoto, la instalación de una puerta trasera o el movimiento lateral a través de redes comprometidas. Todo ello con el fin de robar credenciales e información de las organizaciones atacadas.
No obstante, la vulnerabilidad de Print Spooler no es la única afectada por estos ataques con GooseEgg, sino que también se ha identificado su uso en dos vulnerabilidades del servicio PrintNightmare (CVE-2021-34527 y CVE-2021-1675), que también fueron solucionadas por Microsoft en el año 2021. De hecho, los investigadores han señalado que GooseEgg se ha estado utilizando, al menos, desde junio de 2020 y “posiblemente” desde en abril de 2019.
De cara a evitar este tipo de ataques, los investigadores han recomendado a los usuarios y organizaciones que actualicen Print Spooler y PrintNightmare, en caso de que no lo hayan hecho ya, de cara a implementar las correcciones que lanzó Microsoft.
Asimismo, han solicitado que los clientes sigan las recomendaciones de protección de credenciales mostradas en la descripción general del robo de credenciales local de Microsoft, de cara a conocer cómo defenderse contra técnicas comunes de robo de credenciales. Finalmente, han aconsejado utilizar programas antivirus como Microsoft Defender.
Data
