El actor de amenazas ruso Forest Blizzard, también conocido como APT28 o Fancy Bear, ha estado utilizando una herramienta personalizada llamada GooseEgg para explotar la vulnerabilidad CVE-2022-38028 en el servicio de Windows Print Spooler. Esta amenaza, descubierta por Microsoft Threat Intelligence, ha permitido a los atacantes obtener privilegios elevados y robar credenciales en redes comprometidas. A continuación, exploraremos cómo funciona GooseEgg y qué medidas de seguridad pueden tomar las organizaciones para protegerse.
Qué es GooseEgg y Cómo Funciona
GooseEgg es una herramienta que se ha utilizado desde al menos junio de 2020, y posiblemente desde abril de 2019, para explotar vulnerabilidades en el servicio de Windows Print Spooler. El proceso involucra modificar un archivo de restricciones de JavaScript y ejecutarlo con permisos de nivel SYSTEM, permitiendo a los atacantes llevar a cabo una serie de acciones maliciosas.
La herramienta, desplegada con scripts de lotes, puede lanzar aplicaciones con permisos elevados, instalar puertas traseras y moverse lateralmente a través de redes comprometidas. Forest Blizzard utiliza GooseEgg para obtener acceso elevado a sistemas objetivos y robar información sensible.
Objetivos de Forest Blizzard
Forest Blizzard se enfoca principalmente en sectores estratégicos, como gobiernos, energía, transporte y organizaciones no gubernamentales, en países de Estados Unidos, Europa y Medio Oriente. El grupo ha sido vinculado a la Unidad 26165 de la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU), y su principal misión es recopilar información de inteligencia para respaldar las políticas exteriores rusas.
Técnicas de Ataque y Persistencia
Una vez que GooseEgg es desplegado en un sistema, se ejecuta con un script de lotes para crear archivos y directorios en el sistema, incluyendo la modificación del registro para establecer protocolos personalizados y establecer tareas programadas para mantener la persistencia. Luego, la herramienta lanza un archivo DLL malicioso con permisos de SYSTEM, permitiendo a los atacantes realizar una variedad de acciones, como instalar malware adicional, robar credenciales y moverse lateralmente.
Recomendaciones para la Mitigación
Para protegerse contra GooseEgg y las vulnerabilidades de Print Spooler, se recomiendan las siguientes acciones:
- Instalar la actualización de seguridad para CVE-2022-38028, lanzada el 11 de octubre de 2022, y otras relacionadas con las vulnerabilidades de PrintNightmare.
- Deshabilitar el servicio de Print Spooler en controladores de dominio si no es necesario para las operaciones.
- Seguir las recomendaciones de Microsoft para endurecimiento de credenciales para reducir el riesgo de robo de credenciales.
- Utilizar herramientas de detección y respuesta de endpoints (EDR) como Microsoft Defender para detectar y bloquear actividad maliciosa.
- Configurar la protección en modo automático para responder rápidamente a alertas de amenazas.
Detección y Respuesta a GooseEgg
Microsoft Defender ofrece detecciones para GooseEgg y alertas relacionadas con la posible explotación de vulnerabilidades en el servicio de Print Spooler. Estas detecciones incluyen “HackTool:Win64/GooseEgg” y alertas por comportamiento sospechoso de spoolsv.exe. Se recomienda a las organizaciones usar Microsoft Defender para detectar y responder a amenazas, además de seguir las recomendaciones para la mitigación.
Conclusión
El descubrimiento de GooseEgg y su uso por parte de Forest Blizzard demuestra la sofisticación y persistencia de los actores de amenazas rusos. Las organizaciones deben estar alertas y tomar medidas proactivas para proteger sus sistemas y datos. Al implementar las actualizaciones de seguridad y las mejores prácticas de detección y respuesta, las empresas pueden reducir el riesgo de ser víctimas de este tipo de ciberataques.
