Sommario
Microsoft ha recentemente segnalato che il gruppo di hacker russi APT28 ha sfruttato una vulnerabilità di Windows, precedentemente segnalata dall’NSA, per condurre attacchi che mirano all’escalation di privilegi e al furto di credenziali e dati.
Dettagli dell’attacco
La vulnerabilità in questione, identificata come CVE-2022-38028, riguarda il servizio di Print Spooler di Windows e consente agli attaccanti di ottenere privilegi di sistema. APT28 ha impiegato uno strumento di hacking precedentemente sconosciuto, chiamato GooseEgg, per sfruttare questa falla. Il tool permette l’esecuzione di comandi con privilegi SYSTEM, fornendo agli attaccanti una vasta capacità di controllo sui sistemi infettati.
Modalità di implementazione
GooseEgg viene distribuito tramite uno script di Windows chiamato “execute.bat” o “doit.bat”, che avvia l’eseguibile GooseEgg e stabilisce la persistenza sul sistema compromesso tramite l’aggiunta di un task pianificato. Gli attaccanti utilizzano questo strumento per lanciare ulteriori tool maligni e per muoversi lateralmente all’interno delle reti delle vittime.
Implicazioni e obiettivi
Gli hacker di APT28, identificati come parte dell’Unità Militare 26165 del Direttorato Generale di Intelligence dell’esercito russo (GRU), hanno utilizzato GooseEgg principalmente contro obiettivi in Ucraina, Europa Occidentale e Nord America, focalizzandosi su entità governative, educative, dei trasporti e non governative.
Storico degli attacchi di APT28
APT28 è noto per la sua lunga storia di attacchi cibernetici di alto profilo, inclusi quelli al Parlamento Tedesco, al Comitato Nazionale Democratico e al Comitato di Campagna del Congresso Democratico americano. Questo gruppo è stato anche implicato in attacchi che hanno sfruttato una zero-day di Cisco e router Ubiquiti EdgeRouters per condurre operazioni difficili da rilevare qui tutta la storia di Fancy Bear.
L’attività recente di APT28 dimostra che le minacce cibernetiche da entità statali e sponsorizzate dallo stato rimangono un rischio significativo per la sicurezza globale. Le organizzazioni devono rimanere vigili e adottare misure di sicurezza avanzate per proteggersi da queste sofisticate campagne di cyber-attacco.