Malware GooseEgg vinculado ao Russian Fancy Bear APT
APT28, um ator de ameaça ligado à Rússia, utilizou uma vulnerabilidade de segurança no componente Microsoft Windows Print Spooler para implantar um novo malware personalizado chamado GooseEgg. Esta ferramenta pós-comprometimento, operacional desde pelo menos junho de 2020 e potencialmente já em abril de 2019, explorou uma falha agora corrigida que permite o escalonamento de privilégios (CVE-2022-38028, pontuação CVSS: 7,8). A Microsoft resolveu esse problema em atualizações lançadas em outubro de 2022, com crédito à Agência de Segurança Nacional dos EUA (NSA) por reportá-lo inicialmente.
Fancy Bear implantou GooseEgg contra vários alvos
De acordo com descobertas recentes da equipe de inteligência de ameaças da Microsoft, o APT28 (também conhecido como Fancy Bear e Forest Blizzard) utilizou essa vulnerabilidade em ataques direcionados a organizações governamentais, não governamentais, de educação e do setor de transporte na Ucrânia, Europa Ocidental e América do Norte.
A Forest Blizzard, que se acredita estar associada à Unidade 26165 da agência de inteligência militar russa GRU, está ativa há cerca de 15 anos, concentrando-se principalmente na coleta de informações para apoiar os objetivos da política externa russa.
Ataques anteriores do Fancy Bear
Além do GooseEgg, o APT28 explorou outras vulnerabilidades, como uma falha de escalonamento de privilégios no Microsoft Outlook (CVE-2023-23397, pontuação CVSS: 9,8) e um bug de execução de código no WinRAR (CVE-2023-38831, pontuação CVSS: 7,8 ), demonstrando sua agilidade em incorporar explorações públicas em suas táticas.
O objetivo da implantação do GooseEgg, de acordo com a Microsoft, é obter acesso elevado aos sistemas alvo e roubar credenciais e informações. O malware normalmente é implantado junto com um script em lote e permite a execução de comandos para acionar a exploração e iniciar aplicativos específicos com permissões elevadas, verificando o sucesso por meio de comandos como whoami.
