Tyler Croce
Il colosso della tecnologia Microsoft ha recentemente risolto una vulnerabilità del suo software Windows che gli hacker russi stavano sfruttando. Gli autori delle minacce rispondono a più nomi di gruppi, tra cui APT 28, Forrest Blizzard e Fancy Bear.
In genere, il gruppo è noto per aver lanciato una serie di attacchi di phishing e spoofing contro varie aziende in tutto il mondo. Diversi ricercatori del gruppo hanno concluso che eseguono attacchi a vantaggio dello stato russo, portando molti a concludere che si tratti di un vero gruppo di hacker sponsorizzato dallo stato.
Hanno sfruttato il servizio Spooler di stampa di Windows per concedersi privilegi amministrativi e rubare informazioni compromesse dalla rete Microsoft. L'operazione prevedeva l'utilizzo di GooseEgg, uno strumento malware APT 28 recentemente identificato e personalizzato per l'operazione.
In passato, il gruppo ha creato altri strumenti di hacking, come X-Tunnel, XAgent, Foozer e DownRange. Il gruppo utilizza questi strumenti sia per lanciare attacchi che per vendere l'attrezzatura ad altri criminali. Questo è noto come modello malware-as-a-service.
La vulnerabilità, denominata CVE-2022-38028, non è stata rilevata per diversi anni, consentendo a questi hacker ampie opportunità di raccogliere dati sensibili da Windows.
APT 28 sta "utilizzando GooseEgg come parte di attività post-compromesso contro obiettivi tra cui organizzazioni governative, non governative, dell'istruzione e dei trasporti ucraine, dell'Europa occidentale e nordamericane", spiega Microsoft.
Gli hacker “perseguono obiettivi come l’esecuzione di codice in modalità remota, l’installazione di una backdoor e lo spostamento laterale attraverso reti compromesse”.
Diversi esperti di sicurezza informatica si sono espressi dopo la scoperta di CVE-2022-38028, esprimendo le loro preoccupazioni sul settore.
"I team di sicurezza sono diventati incredibilmente efficienti nell'identificare e correggere i CVE, ma sono sempre più queste vulnerabilità ambientali - in questo caso all'interno del servizio Windows Print Spooler, che gestisce i processi di stampa - che creano lacune nella sicurezza consentendo agli autori malintenzionati di accedere ai dati", scrive Greg Fitzgerald , cofondatore di Sevco Security.
Microsoft ha risolto l'exploit di sicurezza, ma i potenziali danni derivanti da questa violazione pluriennale sono sconosciuti e il gruppo di hacker è ancora in libertà.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/