Microsoft advirtió recientemente sobre las actividades de un sofisticado grupo de piratas informáticos respaldado por el Kremlinidentificado como APT28que ha estado explotando una vulnerabilidad crítica en el Cola de impresión de Windows. Este exploit, que permite a los atacantes escalar privilegios y robar credenciales y datos, se llevó a cabo mediante un hackear hasta ahora desconocido llamado Huevo de ganso.
Revelado por microsofteste grupo ha estado activo desde al menos junio de 2020 y posiblemente desde abril de 2019, explotando la vulnerabilidad CVE-2022-38028 informado por el Agencia de Seguridad Nacional de los Estados Unidos (NSA) y reparado en octubre de 2022 durante el Martes de parches de octubre de 2022 de Microsoft. Sin embargo, no había ninguna indicación en los avisos de la empresa de que estuviera siendo explotada activamente.
APT28También conocido con varios nombres como Ventisca del bosque, sednit, sofá, Unidad GRU 26165cualquiera oso de lujoha sido vinculado por los gobiernos de Estados Unidos y el Reino Unido con la Unidad 26165 de la Dirección General de Inteligencia del ejército ruso, más conocido como grureportado ArsTechnica.
Este grupo ha llevado a cabo múltiples ataques cibernéticos de alto perfil desde mediados de la década de 2000, dirigiendo sus esfuerzos a la recopilación de inteligencia mediante la piratería de una amplia gama de organizaciones, principalmente en Estados Unidos, Europa y Medio Oriente.
La herramienta Huevo de ganso permite a los atacantes obtener privilegios del sistema, los más altos disponibles en Ventanas: “A pesar de ser una aplicación de lanzamiento sencilla, este recurso digital es capaz de generar otras aplicaciones especificadas en la línea de comando con permisos elevados”, señaló Microsoft.
Esto permite a los actores de amenazas respaldar cualquier objetivo secundario, como la ejecución remota de código, la instalación de puerta trasera y el movimiento lateral a través de redes comprometidas. Huevo de gansoque se instala mediante un simple script por lotes, ha demostrado su capacidad para mantener la persistencia en los sistemas infectados, reiniciando con cada arranque de la máquina comprometida.
El uso de dicha herramienta para desplegar un archivo dll maliciosoen algunos casos llamado ‘wayzgoose23.dll’, dentro del contexto del servicio Cola de impresión con permisos del sistema, se ha documentado.
Este archivo dll funciona como un iniciador de aplicaciones que puede ejecutar otras cargas útiles con permisos de nivel de SISTEMA. microsoft ha observado que Ventisca del bosque usos Huevo de ganso en actividades posteriores al compromiso contra objetivos, incluidas organizaciones gubernamentales y no gubernamentales, del sector educativo y del transporte en Ucrania, Europa Occidental y América del norte.
Entre los ataques de alto perfil atribuidos a APT28 Se descubre la explotación de un día cero en los enrutadores. cisco para implementar malware Diente de jaguar hace un año, los servicios de inteligencia estadounidenses y estadounidenses advirtieron en su momento Reino Unido; Más recientemente, en febrero, un aviso conjunto del FBI, NSA y socios internacionales advirtieron que el grupo de hackers utilizó enrutadores Enrutadores de borde de ubiquiti pirateado para evadir la detección en ataques.
Además, APT28 ha sido vinculado con el hackeo de Parlamento Federal Alemán (Bundestag Alemán) y las infiltraciones en el Comité de Campaña Demócrata del Congreso (DCCC) y el Comité Nacional Demócrata (DNC) antes de las elecciones presidenciales EE.UU de 2016.
Los miembros del grupo de hackers fueron acusados de EE.UU dos años después por su participación en los ataques a Comité Nacional Demócrata y DCCCMientras tanto el Consejo de la Unión Europea miembros sancionados de APT28 en octubre de 2020 debido al hackeo de Parlamento Federal Alemán.
