
Microsoft alertó recientemente sobre las actividades de un sofisticado grupo de hackers respaldado por el Kremlin, identificado como APT28, que ha estado explotando una vulnerabilidad crítica en el Windows Print Spooler. Esta explotación, que permite a los atacantes escalar privilegios y robar credenciales y datos, ha sido realizada mediante una herramienta de hacking hasta ahora desconocida denominada GooseEgg.
Revelado por Microsoft, este grupo ha estado activo desde al menos junio de 2020 y, posiblemente, desde abril de 2019, aprovechando la vulnerabilidad CVE-2022-38028 informada por la Agencia de Seguridad Nacional de Estados Unidos (NSA) y reparada en octubre de 2022 durante el Microsoft October 2022 Patch Tuesday. Sin embargo, no se había indicado en los avisos de la empresa que estuviera siendo activamente explotada.
PUBLICIDAD
APT28, también conocido bajo varios nombres como Forest Blizzard, Sednit, Sofacy, Unidad 26165 del GRU, o Fancy Bear, ha sido vinculado por los gobiernos de Estados Unidos y el Reino Unido a la Unidad 26165 de la Dirección Principal de Inteligencia del ejército ruso, más conocida como GRU, reportó ArsTechnica.
Este grupo ha llevado a cabo múltiples y notorios ciberataques desde mediados de la década de 2000, dirigiendo sus esfuerzos hacia la recolección de inteligencia mediante el hackeo de una amplia gama de organizaciones, principalmente en Estados Unidos, Europa y Oriente Medio.
PUBLICIDAD
La herramienta GooseEgg permite a los atacantes obtener privilegios del sistema, los más altos disponibles en Windows: “A pesar de ser una simple aplicación de lanzamiento, este recurso digital es capaz de generar otras aplicaciones especificadas en la línea de comandos con permisos elevados”, señaló Microsoft.
Esto permite a los actores de amenazas apoyar cualquier objetivo secundario, como la ejecución de código remoto, la instalación de una puerta trasera y el movimiento lateral a través de redes comprometidas. GooseEgg, que se instala usando un simple script de lote, ha mostrado su capacidad para mantener la persistencia en los sistemas infectados, reiniciándose con cada arranque de la máquina comprometida.
PUBLICIDAD
El uso de dicha herramienta para desplegar un archivo DLL malicioso, en algunos casos denominado ‘wayzgoose23.dll’, dentro del contexto del servicio PrintSpooler con permisos del sistema, ha sido documentado.
Este archivo DLL funciona como un lanzador de aplicaciones que puede ejecutar otros payloads con permisos de nivel SYSTEM. Microsoft ha observado que Forest Blizzard utiliza GooseEgg en actividades post-compromiso contra objetivos, incluidas organizaciones gubernamentales y no gubernamentales, educativas y del sector del transporte en Ucrania, Europa Occidental y Norteamérica.
PUBLICIDAD

Entre los ataques de alto perfil adjudicados a APT28 se encuentran la explotación de un zero-day en routers Cisco para desplegar el malware Jaguar Tooth hace un año, advirtió en su momento los servicios de inteligencia estadounidenses y del Reino Unido; más recientemente, en febrero, un aviso conjunto del FBI, la NSA y socios internacionales advirtieron que el grupo de hackers utilizó routers EdgeRouters de Ubiquiti hackeados para evadir detecciones en ataques.
Además, APT28 ha sido vinculado con el hackeo del Parlamento Federal Alemán (Deutscher Bundestag) y las infiltraciones en el Comité de Campaña Congresional Demócrata (DCCC) y el Comité Nacional Demócrata (DNC) antes de las elecciones presidenciales de Estados Unidos de 2016.
PUBLICIDAD
Miembros del grupo de hackers fueron acusados por Estados Unidos dos años después por su participación en los ataques al DNC y DCCC, mientras que el Consejo de la Unión Europea sancionó a miembros de APT28 en octubre de 2020 por el hackeo del Parlamento Federal Alemán.
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
Qué aprendió Google del primer Mundial con inteligencia artificial
El director de marketing para Latinoamérica de la empresa tecnológica, Ramiro Sánchez, reveló en Nueva York que la Selección argentina ya concentraba más del 20% de la conversación global en redes antes de arrancar la Copa del Mundo, el dato que la empresa priorizó por sobre el resultado deportivo

El humo de los incendios de Canadá y Minnesota envuelve Washington D.C. y pone en alerta a millones en EE. UU.
Una nube espesa redujo la visibilidad en la capital y disparó recomendaciones de precaución para los residentes, mientras el episodio se extiende por varias zonas del país
El Departamento de Justicia de EE. UU. concluye que ya no es ilegal descargar TikTok en los dispositivos federales
Un dictamen de 12 páginas de la Oficina de Asesoría Legal sostuvo que la restricción de 2022 ya no alcanza a la plataforma, tras el traspaso de operaciones y datos en el país a una sociedad controlada por inversores locales

Identifican los restos de una millonaria desaparecida en California hace 45 años
Un hombre fue condenado por el asesinato de Thelma Gaston, una viuda de 80 años, ocurrido en 1981, pero sus restos solo pudieron ser reconocidos décadas después mediante pruebas de ADN, genealogía genética y registros dentales



