Forest Blizzard, un aggressore basato in Russia, utilizza un tool personalizzato chiamato GooseEgg per sfruttare la vulnerabilità CVE-2022-38028 e rubare credenziali nelle reti compromesse. Scopriamo come lotta Microsoft contro questa minaccia.
Per anni, un attore di minaccia con base in Russia, conosciuto come Forest Blizzard (o STRONTIUM), ha impiegato un tool personalizzato per infiltrarsi nelle reti compromesse, guadagnare privilegi superiori e trafugare credenziali. Il tool in questione, ribattezzato da Microsoft con il nome di GooseEgg, è stato attivamente utilizzato già dal giugno 2020, potendo risalire le prime tracce fino ad aprile 2019.
GooseEgg agisce sfruttando una particolare vulnerabilità, conosciuta come CVE-2022-38028, del servizio Windows Print Spooler, manipolando un file di vincoli JavaScript ed eseguendolo con permessi di livello SYSTEM. L’azione di Forest Blizzard e del suo GooseEgg è stata osservata principalmente contro obiettivi appartenenti a organizzazioni governative, non governative, educative e di trasporto dell’Ucraina, dell’Europa occidentale e del Nord America.
Nonostante sia un’applicazione di lancio piuttosto semplice, GooseEgg si rivela molto potente, capace di generare altre applicazioni specificate nella riga di comando con permessi elevati. Questo consente agli aggressori di raggiungere ulteriori obiettivi, come l’esecuzione di codice remoto, l’installazione di una backdoor e il movimento laterale attraverso le reti compromesse.
Uno degli aspetti unici di GooseEgg è il suo utilizzo nelle operazioni di Forest Blizzard. Questa scoperta rappresenta qualcosa di nuovo rispetto a quanto precedentemente riportato dai fornitori di sicurezza, anche se altri aggressori russi sono noti per aver sfruttato un insieme di vulnerabilità simili, noto come PrintNightmare (CVE-2021-34527 e CVE-2021-1675).
La cyber security è una questione critica per l’intera comunità globale. Microsoft si impegna a fornire visibilità sulle attività dannose osservate e a condividere informazioni sugli attori minacciosi, per aiutare le organizzazioni a tutelare se stesse. Per mitigare questa minaccia, Microsoft consiglia l’applicazione dell’aggiornamento di sicurezza correlato alla vulnerabilità CVE-2022-38028 e informa che Microsoft Defender Antivirus rileva specificamente la capacità di Forest Blizzard come HackTool:Win64/GooseEgg.
Al di là dell’applicazione della patch di sicurezza, le organizzazioni possono adottare altri passaggi per difendersi dai tentativi di sfruttare le vulnerabilità del Print Spooler. Nel caso di attività rilevate da un attore di una nazione, Microsoft avvisa direttamente i clienti bersagliati o compromessi, fornendo loro le informazioni necessarie per proteggere i loro account.