Imagens Getty
Hackers apoiados pelo Kremlin têm explorado uma vulnerabilidade crítica da Microsoft há quatro anos em ataques que visaram uma vasta gama de organizações com uma ferramenta anteriormente não documentada, revelou a fabricante de software na segunda-feira.
Quando a Microsoft corrigiu a vulnerabilidade em outubro de 2022 – pelo menos dois anos depois de ter sido atacada por hackers russos – a empresa não fez menção de que estava sob exploração ativa. A partir da publicação, a empresa consultivo ainda não fez menção à segmentação in-the-wild. Os usuários do Windows frequentemente priorizam a instalação de patches com base na probabilidade de uma vulnerabilidade ser explorada em ataques do mundo real.
A exploração do CVE-2022-38028, à medida que a vulnerabilidade é rastreada, permite que os invasores obtenham privilégios de sistema, os mais altos disponíveis no Windows, quando combinados com uma exploração separada. Explorar a falha, que tem uma classificação de gravidade de 7,8 em 10 possíveis, requer poucos privilégios existentes e pouca complexidade. Ele reside no spooler de impressão do Windows, um componente de gerenciamento de impressora que abrigava dias zero críticos anteriores. A Microsoft disse na época que soube da vulnerabilidade pela Agência de Segurança Nacional dos EUA.
Na segunda-feira, a Microsoft revelou que um grupo de hackers rastreado sob o nome Forest Blizzard tem explorado CVE-2022-38028 desde pelo menos junho de 2020 – e possivelmente já em abril de 2019. O grupo de ameaças – que também é rastreado sob nomes como APT28, Sednit, Sofacy, GRU Unit 26165 e Fancy Bear – foram vinculados pelo Os governos dos EUA e do Reino Unido à Unidade 26165 da Diretoria Principal de Inteligência, um braço de inteligência militar russo mais conhecido como GRU. A Forest Blizzard concentra-se na coleta de inteligência por meio do hackeamento de uma ampla gama de organizações, principalmente nos EUA, na Europa e no Oriente Médio.
Desde abril de 2019, a Forest Blizzard tem explorado o CVE-2022-38028 em ataques que, uma vez adquiridos privilégios de sistema, usam uma ferramenta anteriormente não documentada que a Microsoft chama de GooseEgg. O malware pós-exploração eleva os privilégios dentro de um sistema comprometido e fornece uma interface simples para instalar peças adicionais de malware que também são executadas com privilégios do sistema. Esse malware adicional, que inclui ladrões de credenciais e ferramentas para movimentação lateral através de uma rede comprometida, pode ser personalizado para cada alvo.
“Embora seja um aplicativo inicializador simples, o GooseEgg é capaz de gerar outros aplicativos especificados na linha de comando com permissões elevadas, permitindo que os atores da ameaça apoiem quaisquer objetivos subsequentes, como execução remota de código, instalação de um backdoor e movimentação lateral através de redes comprometidas, ”, escreveram funcionários da Microsoft.
GooseEgg normalmente é instalado usando um simples script em lote, que é executado após a exploração bem-sucedida de CVE-2022-38028 ou outra vulnerabilidade, como CVE-2023-23397, que o comunicado de segunda-feira disse também ter sido explorada pela Forest Blizzard. O script é responsável por instalar o binário GooseEgg, geralmente chamado de Justice.exe ou DefragmentSrv.exe, e garantir que eles sejam executados sempre que a máquina infectada for reinicializada.