GooseEgg: La Herramienta de Ciberespionaje Utilizada por el Grupo Ruso Forest Blizzard para Explotar CVE-2022-38028

El actor de amenazas ruso Forest Blizzard, también conocido como APT28 o Fancy Bear, ha estado utilizando una herramienta personalizada llamada GooseEgg para explotar la vulnerabilidad CVE-2022-38028 en el servicio de Windows Print Spooler. Esta amenaza, descubierta por Microsoft Threat Intelligence, ha permitido a los atacantes obtener privilegios elevados y robar credenciales en redes comprometidas. A continuación, exploraremos cómo funciona GooseEgg y qué medidas de seguridad pueden tomar las organizaciones para protegerse.

 

Qué es GooseEgg y Cómo Funciona

GooseEgg es una herramienta que se ha utilizado desde al menos junio de 2020, y posiblemente desde abril de 2019, para explotar vulnerabilidades en el servicio de Windows Print Spooler. El proceso involucra modificar un archivo de restricciones de JavaScript y ejecutarlo con permisos de nivel SYSTEM, permitiendo a los atacantes llevar a cabo una serie de acciones maliciosas.

La herramienta, desplegada con scripts de lotes, puede lanzar aplicaciones con permisos elevados, instalar puertas traseras y moverse lateralmente a través de redes comprometidas. Forest Blizzard utiliza GooseEgg para obtener acceso elevado a sistemas objetivos y robar información sensible.

 

Objetivos de Forest Blizzard

Forest Blizzard se enfoca principalmente en sectores estratégicos, como gobiernos, energía, transporte y organizaciones no gubernamentales, en países de Estados Unidos, Europa y Medio Oriente. El grupo ha sido vinculado a la Unidad 26165 de la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU), y su principal misión es recopilar información de inteligencia para respaldar las políticas exteriores rusas.

Técnicas de Ataque y Persistencia

Una vez que GooseEgg es desplegado en un sistema, se ejecuta con un script de lotes para crear archivos y directorios en el sistema, incluyendo la modificación del registro para establecer protocolos personalizados y establecer tareas programadas para mantener la persistencia. Luego, la herramienta lanza un archivo DLL malicioso con permisos de SYSTEM, permitiendo a los atacantes realizar una variedad de acciones, como instalar malware adicional, robar credenciales y moverse lateralmente.

 

Recomendaciones para la Mitigación

Para protegerse contra GooseEgg y las vulnerabilidades de Print Spooler, se recomiendan las siguientes acciones:

  • Instalar la actualización de seguridad para CVE-2022-38028, lanzada el 11 de octubre de 2022, y otras relacionadas con las vulnerabilidades de PrintNightmare.
  • Deshabilitar el servicio de Print Spooler en controladores de dominio si no es necesario para las operaciones.
  • Seguir las recomendaciones de Microsoft para endurecimiento de credenciales para reducir el riesgo de robo de credenciales.
  • Utilizar herramientas de detección y respuesta de endpoints (EDR) como Microsoft Defender para detectar y bloquear actividad maliciosa.
  • Configurar la protección en modo automático para responder rápidamente a alertas de amenazas.

 

Detección y Respuesta a GooseEgg

Microsoft Defender ofrece detecciones para GooseEgg y alertas relacionadas con la posible explotación de vulnerabilidades en el servicio de Print Spooler. Estas detecciones incluyen “HackTool:Win64/GooseEgg” y alertas por comportamiento sospechoso de spoolsv.exe. Se recomienda a las organizaciones usar Microsoft Defender para detectar y responder a amenazas, además de seguir las recomendaciones para la mitigación.

 

Conclusión

El descubrimiento de GooseEgg y su uso por parte de Forest Blizzard demuestra la sofisticación y persistencia de los actores de amenazas rusos. Las organizaciones deben estar alertas y tomar medidas proactivas para proteger sus sistemas y datos. Al implementar las actualizaciones de seguridad y las mejores prácticas de detección y respuesta, las empresas pueden reducir el riesgo de ser víctimas de este tipo de ciberataques.

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.