Il gruppo di hacker legato alla Russia conosciuto come APT28 ha sfruttato una falla di sicurezza nel componente Microsoft Windows Print Spooler per distribuire un malware personalizzato precedentemente sconosciuto chiamato GooseEgg.
Come funziona e quali sono i problemi causati da GooseEgg
Lo strumento post-compromissione, che si crede sia stato utilizzato almeno dal giugno 2020 e forse già dall’aprile 2019, ha sfruttato una falla ora corretta che consentiva la scalata dei privilegi (CVE-2022-38028, punteggio CVSS: 7.8).
La minaccia informatica GooseEgg è stata affrontata da Microsoft come parte degli aggiornamenti rilasciati nell’ottobre 2022, con l’Agenzia per la Sicurezza Nazionale (NSA) degli Stati Uniti accreditata per aver segnalato la falla in quel momento.
Secondo nuove scoperte del team di intelligence sulle minacce della grande azienda tecnologica, APT28, anche chiamato Fancy Bear e Forest Blizzard (e oruna abcira Strontium), ha sfruttato il bug in attacchi mirati a organizzazioni governative, non governative, educative e del settore dei trasporti in Ucraina, Europa occidentale e Nord America.
Il funzionamento di GooseEgg nel dettaglio
“Forest Blizzard ha utilizzato lo strumento […] per sfruttare la vulnerabilità CVE-2022-38028 nel servizio Windows Print Spooler modificando un file di vincoli JavaScript ed eseguendolo con i permessi di livello SYSTEM” ha dichiarato l’azienda.
“Anche se si tratta di un’applicazione di lancio semplice, GooseEgg è in grado di avviare altre applicazioni specificate dalla riga di comando con permessi elevati, consentendo agli attori delle minacce di supportare qualsiasi obiettivo successivo come l’esecuzione remota di codice, l’installazione di un backdoor e il movimento laterale attraverso reti compromesse.”
Si ritiene che Forest Blizzard sia affiliato con l’Unità 26165 dell’agenzia di intelligence militare della Federazione Russa, la Direzione Principale dell’Intelligence dello Stato Maggiore delle Forze Armate della Federazione Russa (GRU).
Attivo da quasi 15 anni, le attività del gruppo di hacker sostenuto dal Cremlino sono prevalentemente orientate alla raccolta di informazioni a sostegno delle iniziative di politica estera del governo russo.
Negli ultimi mesi, gli hacker di APT28 hanno sfruttato anche una falla di escalation dei privilegi in Microsoft Outlook (CVE-2023-23397, punteggio CVSS: 9.8) e un bug di esecuzione del codice in WinRAR (CVE-2023-38831, punteggio CVSS: 7.8), indicando la loro capacità di adottare rapidamente exploit pubblici.
Gli obiettivi degli hacker e gli strumenti utilizzati
“L’obiettivo di Forest Blizzard nel distribuire GooseEgg è quello di ottenere accesso elevato ai sistemi di destinazione e rubare credenziali e informazioni,” ha dichiarato Microsoft. “GooseEgg viene tipicamente distribuito con uno script batch.”
Il binario di GooseEgg supporta comandi per attivare l’exploit e avviare sia una libreria dinamica fornita (DLL) sia un eseguibile con permessi elevati; verifica anche se l’exploit è stato attivato con successo utilizzando il comando whoami.
La divulgazione avviene mentre IBM X-Force ha rivelato nuovi attacchi di phishing orchestrati dall gruppo hacker Gamaredon (noto anche come Aqua Blizzard, Hive0051 e UAC-0010) mirati a Ucraina e Polonia che distribuiscono nuove iterazioni del malware GammaLoad:
- GammaLoad.VBS, che è un backdoor basato su VBS che avvia la catena di infezione
- GammaStager, utilizzato per scaricare ed eseguire una serie di payload VBS codificati in Base64
- GammaLoadPlus, utilizzato per eseguire payload .EXE
- GammaInstall, che funge da caricatore per un noto backdoor di PowerShell chiamato GammaSteel
- GammaLoad.PS, un’implementazione PowerShell di GammaLoad
- GammaLoadLight.PS, una variante PowerShell che contiene il codice per diffondere se stesso ai dispositivi USB connessi
- GammaInfo, uno script di enumerazione basato su PowerShell che raccoglie varie informazioni dall’host
- GammaSteel, un malware basato su PowerShell per esfiltrare file da una vittima basata su un elenco di estensioni consentite
“Il canale 0051 ruota l’infrastruttura attraverso un flusso DNS sincronizzato su più canali tra cui Telegram, Telegraph e Filetransfer.io” hanno dichiarato i ricercatori di IBM X-Force all’inizio di questo mese, affermando che “indica un potenziale aumento delle risorse e delle capacità degli attori dedicate alle operazioni in corso.“, aggiungendo: “È molto probabile che il costante dispiegamento da parte del canale 0051 di nuovi strumenti, capacità e metodi di distribuzione faciliti un ritmo operativo accelerato.”
