Investigadores de ciberseguridad de Microsoft han alertado sobre la herramienta maliciosa personalizada llamada GooseEgg, empleada por el grupo de hackers rusos Forest Blizzard para aprovechar vulnerabilidades en Windows, como la encontrada en el servicio Print Spooler, lo que les permite ejecutar código de forma remota e instalar puertas traseras para el robo de credenciales.
Este grupo de hackers, conocido también como Sofacy y Fancy Bear, está vinculado a la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa, siendo parte de la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).
Asimismo, sus acciones se dirigen principalmente a organizaciones gubernamentales, energéticas y de transporte de países como Ucrania y Estados Unidos, pero también de países de Europa y Oriente Próximo. No obstante, también se enfocan en medios de comunicación, instituciones educativas y organizaciones deportivas, a nivel global.
En concreto, este grupo ha estado en activo desde, al menos, el año 2010 y su misión principal ha sido recopilar inteligencia en apoyo de las iniciativas de política exterior del Gobierno ruso. Ahora, se ha dado a conocer un tipo de herramienta denominada como Goose Egg, utilizada por Forest Blizzard para explotar vulnerabilidades de Windows, como la del servicio Print Spooler.
Así lo ha compartido el equipo de investigadores de Microsoft Threat Intelligence, que ha publicado los resultados de su investigación sobre la actividad de este actor de amenazas con sede en Rusia.
En concreto, el servicio Print Spooler es el servicio de cola de impresión de Windows. Microsoft lanzó una actualización de seguridad para este servicio en 2022, de cara a corregir la vulnerabilidad identificada como CVE-2022-38028.
Al respecto, según la investigación de Microsoft, esta vulnerabilidad fue explotada por los hackers rusos Forest Blizzard a través de GooseEgg, que se utilizó para modificar un archivo de restricciones de JavaScript que, posteriormente, se ejecutó para obtener permisos de nivel de sistema.
De esta forma, según han explicado los investigadores de Microsoft, los actores pudieron realizar actividades posteriores contra objetivos gubernamentales con la ejecución de código en remoto, la instalación de una puerta trasera o el movimiento lateral a través de redes comprometidas. Todo ello con el fin de robar credenciales e información de las organizaciones atacadas.
No obstante, la vulnerabilidad de Print Spooler no es la única afectada por estos ataques con GooseEgg, sino que también se ha identificado su uso en dos vulnerabilidades del servicio Print Nightmare (CVE-2021-34527 y CVE-2021-1675), que también fueron solucionadas por Microsoft en el año 2021. De hecho, los investigadores han señalado que GooseEgg se ha estado utilizando, al menos, desde junio de 2020 y «posiblemente» desde en abril de 2019.
De cara a evitar este tipo de ataques, los investigadores han recomendado a los usuarios y organizaciones que actualicen Print Spooler y PrintNightmare, en caso de que no lo hayan hecho ya, de cara a implementar las correcciones que lanzó Microsoft.
Asimismo, han solicitado que los clientes sigan las recomendaciones de protección de credenciales mostradas en la descripción general del robo de credenciales local de Microsoft, de cara a conocer cómo defenderse contra técnicas comunes de robo de credenciales. Finalmente, han aconsejado utilizar programas antivirus como Microsoft Defender.
