Rilevamento degli Attacchi Forest Blizzard aka Fancy Bear: Hacker Sostenuti dalla Russia Usano uno Strumento GooseEgg Personalizzato per Sfruttare CVE-2022-38028 in Attacchi contro Ucraina, Europa Occidentale e Nord America
Indice:
Il nefasto collettivo di hacker di cyber-spionaggio monitorato come Forest Blizzard (alias Fancy Bear, STRONTIUM o APT28) ha sperimentato un nuovo strumento personalizzato soprannominato GooseEgg malware per sfruttare la vulnerabilità critica CVE-2022-38028 in Windows Print Spooler. Gli avversari stanno lanciando attacchi di raccolta di intelligence multipli, prendendo di mira organizzazioni di tutto il mondo in settori industriali diversi. L’escalation dei privilegi riuscita e il furto delle credenziali danno agli avversari il via libera per eseguire RCE, rilasciare malware e procedere con ulteriori infezioni.
Rileva la più recente operazione di cyber-spionaggio di Forest Blizzard
Con le minacce APT in crescita esponenziale che riflettono l’aumento delle tensioni geopolitiche a livello globale, i difensori informatici stanno cercando soluzioni affidabili per individuare attacchi sofisticati in tempo. Collettivi APT supportati dalla Russia sono particolarmente attivi, usando l’Ucraina come campo di prova per nuove TTP dannose. Inoltre, metodi comprovati vengono sfruttati contro i principali obiettivi di interesse per il governo di Mosca in tutto il mondo.
L’ultima campagna di Forest Blizzard (alias Fancy Bear/APT28) intensifica solo questa tendenza, con organizzazioni in Ucraina, Europa occidentale e Nord America sotto attacco. La piattaforma SOC Prime per la difesa informatica collettiva aggrega un set di regole Sigma curate per aiutare i professionisti della sicurezza a identificare l’attività malevola associata a questa famigerata operazione di cyber-spionaggio. Premi il Esplora le Rilevazioni pulsante qui sotto e approfondisci immediatamente un set di rilevazioni rilevanti.
Tutte le regole sono compatibili con 28 tecnologie SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Inoltre, le rilevazioni sono arricchite con informazioni relative alle minacce, linee temporali degli attacchi e metadati per facilitare l’indagine sulle minacce.
Gli esperti di cybersecurity alla ricerca di contenuti di rilevamento di alta qualità per analizzare retrospettivamente le TTP di Forest Blizzard possono sfogliare il SOC Prime Threat Detection Marketplace usando il tag “Forest Blizzard” o seguire questo link. La nostra libreria di regole Sigma contiene rilevazioni relative ai tentativi di sfruttamento del CVE-2022-38028, che sono disponibili qui.
Analisi dell’Attacco di Forest Blizzard: Approfondimenti sulla Campagna di Cyber-Spionaggio che Abusa della CVE-2022-38028
Microsoft Threat Intelligence ha recentemente condiviso approfondimenti sulla campagna avversaria in corso attribuita a Fancy Bear (alias APT28, Forest Blizzard, Pawn Storm, Sofacy Group o Strontium), un gruppo supportato dalla GRU che appartiene all’Unità 26165 dell’agenzia di intelligence militare russa. Per oltre un periodo di quattro anni, Forest Blizzard ha sfruttato GooseEgg, uno strumento personalizzato dall’arsenale avversario del gruppo, per sfruttare la nota vulnerabilità di elevazione dei privilegi in Windows Print Spooler (CVE-2022-38028) modificando un file di vincoli JavaScript ed eseguendolo con i permessi a livello SYSTEM.
Fancy Bear ha un precedente di sfruttamento di vulnerabilità note, specialmente nei prodotti Microsoft, per infiltrarsi nei bersagli per le sue attività malevole, primariamente incentrate sulla raccolta di intelligence ma non limitate a essa. Il famigerato gruppo sponsorizzato dallo stato russo ha costantemente preso di mira l’Ucraina e i suoi alleati dall’invasione su larga scala da parte della Russia, come nella campagna di phishing alla fine del 2023 contro entità del settore pubblico ucraino e diverse organizzazioni in Polonia riportate da CERT-UA.
Nella campagna in corso di lunga durata, gli avversari hanno preso di mira organizzazioni del settore pubblico e privato in Ucraina, Europa occidentale e Nord America. L’applicazione di GooseEgg consente agli attori della minaccia di ottenere accesso elevato ai sistemi presi di mira, rubare dati sensibili e procedere ulteriormente con lo sviluppo dell’attacco, portando a RCE, distribuzione di backdoor e movimento laterale all’interno delle reti colpite.
Forest Blizzard è concentrato sulle obiettivi di intelligence strategica, cosa che lo distingue da altri gruppi affiliati alla GRU, come Seashell Blizzard (IRIDIUM) e Cadet Blizzard (DEV-0586). Mentre gruppi di hacker collegati alla Russia hanno armato vulnerabilità note come PrintNightmare (CVE-2021-34527 e CVE-2021-1675), la divulgazione di GooseEgg nel kit offensivo di Forest Blizzard richiede attenzione e ultra-reattività dai difensori sulla prima linea informatica.
Comunemente, GooseEgg è distribuito insieme a un script batch che attiva l’eseguibile GooseEgg corrispondente e stabilisce la persistenza creando un’attività pianificata. Il binario GooseEgg facilita comandi per attivare lo sfruttamento del bug di Windows Print Spooler e attivare una DLL o un eseguibile con privilegi elevati. Inoltre, conferma l’attivazione riuscita dell’exploit utilizzando il comando “whoami”.
Microsoft ha affrontato il CVE-2022-38028 nell’ aggiornamento di sicurezza correlato pubblicato nell’ottobre 2022, con credito dato alla NSA degli Stati Uniti per aver originariamente segnalato il difetto. Come altri potenziali passaggi di mitigazione del CVE-2022-38028, i ricercatori raccomandano di disattivare il servizio sui controller di dominio e di adottare strategie di difesa cibernetica proattive per ridurre al minimo i rischi di intrusioni avversarie.
Con gli attacchi in aumento collegati al gruppo Forest Blizzard alias Fancy Bear supportato dalla Russia che prende di mira organizzazioni globali, in particolare l’ultima attività in corso che impiega il malware personalizzato GooseEgg, i team di sicurezza si stanno sforzando di rafforzare le loro difese su larga scala. Sfruttando Attack Detective, l’avanzato SaaS per la Validazione Automatica della Caccia alle Minacce & Rilevazione, le organizzazioni possono identificare efficacemente i punti ciechi nella loro copertura di rilevazione, ottenere visibilità in tempo reale sulla superficie dell’attacco e trovare violazioni prima che gli avversari abbiano una possibilità di colpire.
