Tyler Cruz
Publicado em: 25 de abril de 2024
A gigante da tecnologia Microsoft corrigiu recentemente uma vulnerabilidade em seu software Windows que hackers baseados na Rússia estavam explorando. Os atores da ameaça respondem a vários nomes de grupos, incluindo APT 28, Forrest Blizzard e Fancy Bear.
Normalmente, o grupo é conhecido por lançar uma variedade de ataques de phishing e spoofing em diversas empresas em todo o mundo. Vários pesquisadores do grupo concluíram que eles realizam ataques que beneficiam o Estado russo, levando muitos a concluir que se trata de um verdadeiro grupo de hackers patrocinado pelo Estado.
Eles exploraram o serviço Windows Printer Spooler para obter privilégios administrativos e roubar informações comprometidas da rede da Microsoft. A operação envolveu o uso do GooseEgg, uma ferramenta de malware APT 28 recém-identificada e personalizada para a operação.
No passado, o grupo criou outras ferramentas de hacking, como X-Tunnel, XAgent, Foozer e DownRange. O grupo usa essas ferramentas tanto para lançar ataques quanto para vender os equipamentos a outros criminosos. Isso é conhecido como modelo de malware como serviço.
A vulnerabilidade, batizada de CVE-2022-38028, passou despercebida por vários anos, permitindo a esses hackers amplas oportunidades de coletar dados confidenciais do Windows.
O APT 28 está “usando GooseEgg como parte de atividades pós-compromisso contra alvos, incluindo organizações governamentais, não governamentais, de educação e de transporte da Ucrânia, da Europa Ocidental e da América do Norte”, explica a Microsoft.
Os hackers “seguem objetivos como execução remota de código, instalação de backdoor e movimentação lateral através de redes comprometidas”.
Vários especialistas em segurança cibernética manifestaram-se após a descoberta do CVE-2022-38028, expressando as suas preocupações sobre a indústria.
“As equipes de segurança tornaram-se incrivelmente eficientes na identificação e correção de CVEs, mas cada vez mais são essas vulnerabilidades ambientais – neste caso, dentro do serviço Windows Print Spooler, que gerencia processos de impressão – que criam lacunas de segurança, dando acesso aos dados a atores mal-intencionados”, escreve Greg Fitzgerald , cofundador da Sevco Security.
A Microsoft corrigiu a exploração de segurança, mas os danos potenciais desta violação de vários anos são desconhecidos e o grupo de hackers ainda está foragido.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.safetydetectives.com/news/microsoft-fixes-exploit-used-by-russian-threat-actors/