Nel panorama della sicurezza informatica, il gruppo di hacker noto come APT28, associato alla Russia, ha recentemente attirato l’attenzione per l’uso di uno strumento di hacking chiamato GooseEgg. Questo malware è stato utilizzato per sfruttare una vulnerabilità nel servizio di spooler di stampa di Windows, tracciata come CVE-2022-38028 (punteggio CVSS di 7.8 su 10), con l’intento di rubare credenziali di accesso e compromettere sistemi governativi, ONG, educativi e del settore dei trasporti in Ucraina, Europa occidentale e Nord America.
APT28
APT28, anche noto come Fancy Bear o Strontium, è un gruppo di minacce avanzate persistenti legato al GRU, la direzione principale dell’intelligence generale russa. Questo gruppo si concentra principalmente su obiettivi di intelligence strategica e differisce da altri gruppi affiliati al GRU, noti per attacchi distruttivi.
CVE-2022-38028
Vulnerabilità legata all’escalation dei privilegi dello spooler di stampa di Microsoft Windows. Un utente malintenzionato può modificare un file JavaScript ed eseguirlo con autorizzazioni a livello di SISTEMA
Come funziona GooseEgg
GooseEgg viene distribuito tramite uno script batch che avvia l’eseguibile del malware e garantisce la persistenza sul sistema infetto aggiungendo un task pianificato e verificando l’attivazione dell’exploit.
Misure di difesa
Microsoft ha esortato le organizzazioni a patchare urgentemente la vulnerabilità dopo aver osservato che GooseEgg è stato distribuito contro obiettivi sensibili.
Per mitigare questa minaccia, è essenziale che le organizzazioni applichino l’aggiornamento di sicurezza per CVE-2022-38028. Microsoft ha fornito ulteriori raccomandazioni, rilevamenti e indicatori di compromissione per aiutare le organizzazioni a proteggersi da tentativi di sfruttamento delle vulnerabilità dello spooler di stampa.
Considerazioni
L’operazione GooseEgg da parte di APT28 sottolinea l’importanza di una vigilanza costante e di una risposta tempestiva alle minacce informatiche. La collaborazione tra enti di sicurezza e organizzazioni private è fondamentale per difendersi da attacchi sofisticati e garantire la sicurezza delle informazioni globali.