Detección de Ataques de Forest Blizzard también conocidos como Fancy Bear: Hackers respaldados por Rusia aplican una herramienta personalizada GooseEgg para explotar CVE-2022-38028 en ataques contra Ucrania, Europa Occidental y América del Norte
Tabla de contenidos:
El nefasto colectivo de ciberespionaje rastreado como Forest Blizzard (también conocido como Fancy Bear, STRONTIUM o APT28) ha estado experimentando con una nueva herramienta personalizada llamada malware GooseEgg para aprovechar la vulnerabilidad crítica CVE-2022-38028 en Windows Print Spooler. Los adversarios están lanzando múltiples ataques de recolección de inteligencia dirigidos a organizaciones de todo el mundo en diversos sectores industriales. La escalada de privilegios exitosa y el robo de credenciales les dan a los adversarios luz verde para realizar RCE, desplegar malware y proceder con una infección adicional.
Detecta la Última Operación de Ciberespionaje de Forest Blizzard
Con las amenazas APT en crecimiento exponencial que reflejan tensiones geopolíticas en aumento a nivel mundial, los defensores cibernéticos están buscando soluciones confiables para detectar ataques sofisticados a tiempo. Múltiples colectivos APT respaldados por Rusia están especialmente activos mientras utilizan a Ucrania como un campo de pruebas para nuevas TTPs maliciosas. Además, se aprovechan métodos probados contra objetivos importantes de interés para el gobierno de Moscú en todo el mundo.
La última campaña de Forest Blizzard (también conocida como Fancy Bear/APT28) solo intensifica esta tendencia, con organizaciones en Ucrania, Europa Occidental y América del Norte bajo ataque. La Plataforma SOC Prime para defensa cibernética colectiva agrega un conjunto de reglas Sigma seleccionadas para ayudar a los profesionales de la seguridad a identificar la actividad maliciosa asociada con esta notoria operación de ciberespionaje. Pulsa Explora Detecciones el botón de abajo e inmediatamente profundiza en un conjunto de detecciones relevantes.
Todas las reglas son compatibles con 28 tecnologías SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK®. Además, las detecciones se enriquecen con inteligencia de amenazas relevante, cronologías de ataques y metadatos para facilitar la investigación de amenazas.
Los expertos en ciberseguridad que buscan contenido de detección de alta calidad para analizar retrospectivamente TTPs de Forest Blizzard pueden navegar por el Marketplace de Detección de Amenazas de SOC Prime usando la etiqueta “Forest Blizzard” o seguir este enlace. Nuestra biblioteca de reglas Sigma contiene detecciones relacionadas con intentos de explotación de CVE-2022-38028, las cuales están disponibles aquí.
Análisis de Ataque de Forest Blizzard: Perspectivas de la Campaña de Ciberespionaje Abusando de CVE-2022-38028
Microsoft Threat Intelligence ha compartido recientemente perspectivas sobre la campaña adversaria en curso atribuida a Fancy Bear (también conocido como APT28, Forest Blizzard, Pawn Storm, Sofacy Group o Strontium), un grupo respaldado por el GRU que pertenece a la Unidad 26165 de la agencia de inteligencia militar de Rusia. Durante más de un período de cuatro años, Forest Blizzard ha estado aprovechando GooseEgg, una herramienta personalizada del arsenal adversario del grupo, para explotar la vulnerabilidad conocida de elevación de privilegios en Windows Print Spooler (CVE-2022-38028) al modificar un archivo de restricciones JavaScript y ejecutarlo con permisos de nivel SYSTEM.
Fancy Bear tiene un historial de utilizar como arma vulnerabilidades conocidas, especialmente en productos de Microsoft, para infiltrar objetivos para sus actividades maliciosas, principalmente centradas en la recopilación de inteligencia pero no limitadas a ella. El notorio grupo patrocinado por el estado vinculado a Rusia ha estado apuntando persistentemente a Ucrania y sus aliados desde la invasión a gran escala de Rusia, como en la campaña de phishing a finales de 2023 contra entidades del sector público ucraniano y varias organizaciones en Polonia reportadas por CERT-UA.
En la campaña continua y prolongada, los adversarios han estado atacando organizaciones del sector público y privado en Ucrania, Europa Occidental y América del Norte. Aplicar GooseEgg permite a los actores de amenazas obtener acceso elevado a los sistemas objetivo, robar datos sensibles y avanzar con el desarrollo del ataque, lo que lleva a RCE, despliegue de puertas traseras y movimiento lateral dentro de las redes afectadas.
Forest Blizzard está enfocado en objetivos de inteligencia estratégica, lo que lo distingue de otros grupos afiliados al GRU, como Seashell Blizzard (IRIDIUM) y Cadet Blizzard (DEV-0586). Mientras que los grupos de hacking vinculados a Rusia han utilizado como arma vulnerabilidades conocidas como PrintNightmare (CVE-2021-34527 y CVE-2021-1675), la divulgación de GooseEgg en el kit de herramientas ofensivas de Forest Blizzard requiere atención y ultra-respuesta de los defensores en la línea del frente cibernético.
Comúnmente, GooseEgg se despliega junto con un script por lotes que activa el ejecutable correspondiente de GooseEgg y establece persistencia creando una tarea programada. El binario de GooseEgg facilita comandos para activar la explotación del error de Windows Print Spooler y desencadenar ya sea una DLL o un ejecutable con privilegios elevados. Además, confirma la activación exitosa del exploit utilizando el comando “whoami”.
Microsoft abordó CVE-2022-38028 en la actualización de seguridad relacionada publicada en octubre de 2022, con crédito dado a la NSA de EE. UU. por reportar originalmente el fallo. Como otros posibles pasos de mitigación de CVE-2022-38028, los investigadores recomiendan desactivar el servicio en los controladores de dominio y adoptar estrategias proactivas de defensa cibernética para minimizar los riesgos de intrusiones adversarias.
Con los crecientes ataques vinculados al grupo Forest Blizzard respaldado por Rusia, también conocido como Fancy Bear, dirigidos a organizaciones globales, específicamente la última actividad en curso que emplea el malware personalizado GooseEgg, los equipos de seguridad están esforzándose por fortalecer sus defensas a gran escala. Aprovechando Attack Detective, el avanzado SaaS para Caza de Amenazas & Validación de Stack de Detección Automatizada, las organizaciones pueden identificar efectivamente puntos ciegos en su cobertura de detección, obtener visibilidad en tiempo real del área de ataque y encontrar infracciones antes que los adversarios tengan la oportunidad de atacar.
