APT28 e l’operazione GooseEgg: una minaccia alla sicurezza globale

Nel panorama della sicurezza informatica, il gruppo di hacker noto come APT28, associato alla Russia, ha recentemente attirato l’attenzione per l’uso di uno strumento di hacking chiamato GooseEgg. Questo malware è stato utilizzato per sfruttare una vulnerabilità nel servizio di spooler di stampa di Windows, tracciata come CVE-2022-38028 (punteggio CVSS di 7.8 su 10), con l’intento di rubare credenziali di accesso e compromettere sistemi governativi, ONG, educativi e del settore dei trasporti in Ucraina, Europa occidentale e Nord America.

APT28

APT28, anche noto come Fancy Bear o Strontium, è un gruppo di minacce avanzate persistenti legato al GRU, la direzione principale dell’intelligence generale russa. Questo gruppo si concentra principalmente su obiettivi di intelligence strategica e differisce da altri gruppi affiliati al GRU, noti per attacchi distruttivi.

CVE-2022-38028

Vulnerabilità legata all’escalation dei privilegi dello spooler di stampa di Microsoft Windows. Un utente malintenzionato può modificare un file JavaScript ed eseguirlo con autorizzazioni a livello di SISTEMA

Come funziona GooseEgg

GooseEgg viene distribuito tramite uno script batch che avvia l’eseguibile del malware e garantisce la persistenza sul sistema infetto aggiungendo un task pianificato e verificando l’attivazione dell’exploit.

Fonte Microsoft

Misure di difesa

Microsoft ha esortato le organizzazioni a patchare urgentemente la vulnerabilità dopo aver osservato che GooseEgg è stato distribuito contro obiettivi sensibili.

Per mitigare questa minaccia, è essenziale che le organizzazioni applichino l’aggiornamento di sicurezza per CVE-2022-38028. Microsoft ha fornito ulteriori raccomandazioni, rilevamenti e indicatori di compromissione per aiutare le organizzazioni a proteggersi da tentativi di sfruttamento delle vulnerabilità dello spooler di stampa.

Considerazioni

L’operazione GooseEgg da parte di APT28 sottolinea l’importanza di una vigilanza costante e di una risposta tempestiva alle minacce informatiche. La collaborazione tra enti di sicurezza e organizzazioni private è fondamentale per difendersi da attacchi sofisticati e garantire la sicurezza delle informazioni globali.

Su Salvatore Lombardo 296 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.