A Microsoft divulgou que o grupo russo de espionagem cibernética, conhecido como APT28 ou Fancy Bear, tem explorado uma vulnerabilidade no serviço Windows Print Spooler, que anteriormente era responsável pelo problema de segurança do PrintNightmare. O grupo, que opera sob a unidade militar russa 26165 do GRU, utilizou uma ferramenta até então desconhecida chamada GooseEgg para aumentar privilégios, roubar credenciais e exfiltrar dados. A vulnerabilidade, identificada como CVE-2022-38028, está sob ataque do APT28 desde pelo menos junho de 2020, com atividades potenciais que remontam a abril de 2019. A Microsoft corrigiu essa falha de segurança em suas atualizações do Patch Tuesday de outubro de 2022, após um relatório do Agência de Segurança Nacional dos EUA.
A Mecânica do Ataque
A implantação do GooseEgg pelo APT28 envolve a execução de um script em lote do Windows, chamado’execute.bat’ou’doit.bat’, que então inicia o executável GooseEgg. Esta ação facilita a capacidade dos invasores de manter a persistência no sistema comprometido por meio de uma tarefa agendada chamada ‘servtask.bat’. Além disso, GooseEgg é usado para injetar uma DLL maliciosa, ocasionalmente chamada de ‘wayzgoose23.dll’, no serviço PrintSpooler com permissões de SYSTEM. Essa DLL funciona como um inicializador de aplicativos, capaz de executar cargas adicionais com privilégios elevados, permitindo assim que os invasores instalem backdoors, naveguem pelas redes das vítimas e executem código remoto nos sistemas afetados.
Contexto histórico e implicações
O APT28 tem um histórico notório de envolvimento em ataques cibernéticos de alto perfil. Notavelmente, o grupo explorou um roteador Cisco de dia zero para implantar o malware Jaguar Tooth, visando informações confidenciais nos EUA e na UE. Além disso, o APT28 esteve implicado nas violações do Parlamento Federal Alemão, do Comité de Campanha Democrata do Congresso (DCCC) e do Comité Nacional Democrata (DNC) antes das Eleições Presidenciais dos EUA de 2016. Os EUA e o Conselho da União Europeia tomaram medidas legais contra membros do APT28, sublinhando a ameaça significativa que este grupo representa para a segurança cibernética global.
