Microsoft: hacker sfruttano falla di Windows segnalata dalla NSA

Microsoft ha avvertito gli utenti di una nuova minaccia proveniente dal gruppo hacker russo APT28. Si tratta di un importante gruppo, responsabile di numerosi attacchi informatici di alto profilo sin dalla sua comparsa a metà degli anni 2000. Secondo Microsoft, APT28 sfrutterebbe una vulnerabilità di Windows Print Spooler per aumentare i privilegi e rubare credenziali e dati. Per fare ciò, utilizza uno strumento di hacking precedentemente sconosciuto chiamato GooseEgg. Gli hacker utilizzano questo strumento per sfruttare la vulnerabilità CVE-2022-38028 “almeno da giugno 2020 e forse già da aprile 2019”. L’azienda di Redmond ha risolto la vulnerabilità segnalata dalla National Security Agency degli Stati Uniti durante il Patch Tuesday di Microsoft di ottobre 2022. Tuttavia, nel suo avviso, non l'ha ancora contrassegnata come sfruttata attivamente.

Microsoft: i dettagli dell’attacco del gruppo APT28

Gli hacker russi utilizzano GooseEgg per lanciare e distribuire payload dannosi ed eseguire vari comandi con privilegi a livello di sistema. Microsoft ha visto gli aggressori eliminare questo strumento post-compromissione come uno script batch di Windows denominato "execute.bat" o "doit.bat", che avvia un eseguibile GooseEgg e acquisisce persistenza sul sistema compromesso aggiungendo un'attività pianificata che avvia "servtask" .bat", un secondo script batch scritto sul disco. Questi utilizzano anche GooseEgg per rilasciare un file DLL dannoso incorporato (in alcuni casi soprannominato "wayzgoose23.dll") nel contesto del servizio PrintSpooler con autorizzazioni SYSTEM. Questo DLL è in realtà un launcher di app in grado di eseguire altri payload con autorizzazioni a livello di sistema. Inoltre, consente agli aggressori di implementare backdoor, spostarsi lateralmente attraverso le reti delle vittime ed eseguire codice remoto sui sistemi violati.

In un post sul blog ufficiale, l’azienda di Redmond ha spiegato che “ha osservato Forest Blizzard utilizzare GooseEgg come parte di attività post-compromesso contro obiettivi tra cui organizzazioni governative, non governative, dell'istruzione e dei trasporti ucraine, dell'Europa occidentale e nordamericane. Pur essendo una semplice applicazione di avvio, GooseEgg è in grado di generare altre applicazioni specificate sulla riga di comando con autorizzazioni elevate. Ciò consente agli hacker di supportare qualsiasi obiettivo successivo come l'esecuzione di codice remoto, l'installazione di una backdoor e lo spostamento laterale attraverso reti compromesse”.