Microsoft acaba de advertir sobre la
explotación de una vulnerabilidad del Spooler
de Impresión de Windows por el grupo de amenazas APT28 de Rusia
La reciente advertencia de Microsoft
sobre una vulnerabilidad en Windows, reportada por la Agencia de Seguridad
Nacional (NSA) de EE. UU., ha puesto en alerta a la comunidad de
ciberseguridad. Según el informe, el grupo de amenazas APT28, asociado con la
inteligencia militar rusa, está aprovechando esta falla para escalar privilegios y robar credenciales
y datos utilizando una herramienta de hacking previamente desconocida llamada
GooseEgg.
La vulnerabilidad CVE-2022-38028, que
se reportó durante el Parche de Microsoft de octubre de 2022, ha estado siendo
explotada por APT28 desde al menos junio de 2020, posiblemente incluso desde
abril de 2019. Esta situación plantea graves riesgos de seguridad, ya que
permite a los hackers ejecutar comandos con privilegios de sistema y
desplegar cargas maliciosas adicionales.
El modus operandi de APT28 implica el
uso de GooseEgg para lanzar y ejecutar estos ataques. Esta herramienta, que se
ha detectado como un script batch de Windows llamado ‘execute.bat’ o
‘doit.bat’, permite a los hackers obtener persistencia en los sistemas
comprometidos y ejecutar código remoto. Además, GooseEgg facilita la inserción
de archivos DLL maliciosos en el servicio PrintSpooler de Windows, lo que
permite a los atacantes moverse lateralmente a través de las redes de las
víctimas y ejecutar código remoto en los sistemas comprometidos.
Este último incidente se suma a una
larga lista de ataques de alto perfil atribuidos a APT28, incluidos ataques a
gobiernos, organizaciones no gubernamentales y sectores de transporte y
educación en Ucrania, Europa Occidental y América del Norte. Esta organización
ha estado activa desde mediados de la década de 2000 y ha sido responsable de
ataques notorios, como la violación del Parlamento Federal Alemán y los ataques
a los comités de campaña del Partido Demócrata de los Estados Unidos antes de
las elecciones presidenciales de 2016.
El hacker ruso más buscado por el FBI reveló por qué quemó su pasaporte