I ricercatori Microsoft hanno portato alla luce un malware precedentemente non documentato e chiamato GooseEgg che viene distribuito dal gruppo di minacce russo APT28 sfruttando un bug noto del Print Spooler di Windows: l’obiettivo dei cyber criminali è quello di acquisire privilegi elevati a livello di SYSTEM, compromettere la rete in cui è configurato il servizio di stampa e rubare credenziali di accesso.
Il gigante del software ha quindi esortato le organizzazioni a patchare urgentemente la vulnerabilità dopo avere osservato che GooseEgg è stato distribuito contro obiettivi sensibili in Europa, Nord America e Ucraina.
Indice degli argomenti
Ecco come GooseEgg compromette i sistemi target
Secondo il rapporto pubblicato dai ricercatori Microsoft, Forest Blizzard ha iniziato a distribuire il malware almeno dal mese di giugno 2020, prendendo di mira organizzazioni statali, non governative, educative e del settore dei trasporti in Ucraina, Europa Occidentale e Nord America.
“L’uso di GooseEgg nelle operazioni di Forest Blizzard rappresenta una scoperta unica che non era stata precedentemente segnalata dai fornitori di sicurezza”, hanno dichiarato i ricercatori.
GooseEgg viene tipicamente distribuito mediante uno script batch denominato execute.bat o doit.bat, che avvia l’eseguibile del malware e ottiene la persistenza sul sistema compromesso aggiungendo un task pianificato che lancia il servizio servtask.bat.
Il malware è anche in grado di verificare se l’exploit è stato attivato correttamente utilizzando il comando whoami.
Il malware GooseEgg, in particolare, sfrutta una vulnerabilità nel servizio di gestione delle stampe di Windows tracciata come CVE-2022-38028 (con punteggio CVSS di 7.8 su 10), già segnalata dalla national Security Agency americana e corretta da Microsoft in occasione del Patch Tuesday di ottobre 2022, anche se a suo tempo non era stata classificata come attivamente sfruttata.
“Si esorta vivamente i clienti che non hanno ancora implementato queste correzioni a farlo il prima possibile per la sicurezza della propria organizzazione”, ha dichiarato Microsoft.
Dopo avere infettato il sistema target GooseEgg consente agli attaccanti di intraprendere altre azioni quali l’esecuzione di codice remoto, l’installazione di backdoor e il movimento laterale attraverso le reti compromesse.
Chi è e come agisce il gruppo APT28
Il gruppo APT28, meglio conosciuto come Fancy Bear e che i ricercatori Microsoft hanno ora tracciato con il nome Forest Blizzard, è associato all’agenzia di intelligence militare della Russia, il GRU, ed è famoso per le sue sofisticate operazioni di cyber-attacco.
Attivo da quasi 15 anni, le attività del gruppo di hacking sostenuto dal Cremlino sono prevalentemente orientate alla raccolta di informazioni a sostegno delle iniziative di politica estera del governo russo.
Gli hacker del GRU mirano tipicamente a risorse di intelligence strategica come organizzazioni governative, energetiche, dei trasporti e non governative. Microsoft ha inoltre osservato che tra i principali obiettivi di Forest Blizzard ci sono anche i media, le aziende IT, le organizzazioni sportive e le istituzioni educative, delineando un quadro di minaccia estesa e diversificata che richiede attenzione e misure preventive adeguate da parte delle entità colpite.
Negli ultimi tempi, oltre alla CVE-2022-38028, Forest Blizzard ha sfruttato anche altre vulnerabilità, come la CVE-2023-23397 (con punteggio CVSS di 9.8 su 10), che interessa tutte le versioni del software Microsoft Outlook su dispositivi Windows. Inoltre, all’inizio di dicembre Microsoft aveva avvertito che Forest Blizzard stava tentando di utilizzare il bug di Microsoft Outlook per ottenere l’accesso non autorizzato all’interno dei server Microsoft Exchange almeno da aprile 2022.
La gang filorussa ha anche abusato di un bug di esecuzione del codice in WinRAR (CVE-2023-38831, punteggio CVSS: 7.8), dimostrando la sua capacità di adottare rapidamente exploit pubblici per condurre campagne di attacco mirate.
Un anno fa, i servizi di intelligence di Stati Uniti e Regno Unito hanno avvertito che APT28 stava sfruttando una vulnerabilità zero-day nei router Cisco per distribuire il malware Jaguar Tooth che gli permetteva di raccogliere informazioni sensibili da obiettivi negli Stati Uniti e in Europa.
Nello scorso mese di febbraio, un avviso congiunto emesso da FBI, NSA e partner internazionali ha avvertito che il gruppo criminale ha utilizzato EdgeRouters Ubiquiti hackerati per evitare il rilevamento negli attacchi.
I filorussi di APT28 sono stati anche collegati con la violazione del Parlamento Federale Tedesco (Deutscher Bundestag) e con gli attacchi al Comitato Congressuale Democratico (DCCC) e al Comitato Nazionale Democratico (DNC) prima delle elezioni presidenziali USA del 2016.
Come mitigare il rischio
L’attuale exploit della CVE-2022-38028 sfruttato per diffondere il malware GooseEgg rivela, evidentemente, che molte organizzazioni non hanno ancora applicato la patch già rilasciata da Microsoft per correggere la vulnerabilità, violando una delle principali regole di sicurezza informatica sull’aggiornamento costante dei propri sistemi.
Le aziende che non hanno ancora implementato queste correzioni sono quindi invitate a farlo il prima possibile per garantire la massima sicurezza del proprio perimetro cyber.
Inoltre, poiché il servizio Print Spooler non è necessario per le operazioni dei controller di dominio, Microsoft consiglia di disabilitarlo.
L’azienda ha anche rilasciato sia gli indicatori di compromissione (IOC) associati agli attacchi osservati sia alcune utili risorse aggiuntive per aiutare le organizzazioni a scovare potenziali infezioni da GooseEgg.
