Blizzard Florestal também conhecido como Detecção de Ataque Fancy Bear: Hackers apoiados pela Rússia aplicam uma ferramenta personalizada GooseEgg para explorar a CVE-2022-38028 em ataques contra a Ucrânia, Europa Ocidental e América do Norte
Índice:
O coletivo de hackers de ciberespionagem nefasto rastreado como Forest Blizzard (também conhecido como Fancy Bear, STRONTIUM ou APT28) tem experimentado uma nova ferramenta personalizada chamada malware GooseEgg para armar a vulnerabilidade crítica CVE-2022-38028 no Windows Print Spooler. Os adversários estão lançando múltiplos ataques de coleta de inteligência visando organizações em todo o mundo em diversos setores da indústria. A escalada de privilégio e o roubo de credenciais bem-sucedidos dão aos adversários o sinal verde para executar RCE, distribuir malware e seguir adiante com infecções adicionais.
Detecte a Mais Recente Operação de Ciberespionagem do Forest Blizzard
Com ameaças APT crescendo exponencialmente que refletem tensões geopolíticas globais crescentes, os defensores cibernéticos estão buscando soluções confiáveis para detectar ataques sofisticados a tempo. Múltiplos coletivos APT apoiados pela Rússia estão especialmente ativos usando a Ucrânia como campo de testes para novas TTPs maliciosas. Além disso, métodos comprovados são utilizados contra grandes alvos de interesse para o governo de Moscou em todo o mundo.
A mais recente campanha do Forest Blizzard (também conhecido como Fancy Bear/APT28) apenas intensifica essa tendência, com organizações na Ucrânia, Europa Ocidental e América do Norte sendo atacadas. A Plataforma SOC Prime para defesa cibernética coletiva agrega um conjunto de regras Sigma selecionadas para ajudar profissionais de segurança a identificar a atividade maliciosa associada a esta notória operação de ciberespionagem. Clique no Explore Detecções botão abaixo e mergulhe imediatamente em um conjunto de detecções relevantes.
Todas as regras são compatíveis com 28 tecnologias SIEM, EDR e de Data Lake e mapeadas para o framework MITRE ATT&CK®. Além disso, as detecções são enriquecidas com intel de ameaça relevante, cronogramas de ataques e metadados para suavizar a investigação de ameaças.
Especialistas em cibersegurança que buscam mais conteúdo de detecção de alta qualidade para analisar retrospectivamente as TTPs do Forest Blizzard podem navegar no SOC Prime’s Threat Detection Marketplace usando a tag “Forest Blizzard” ou seguir este link. Nossa biblioteca de regras Sigma contém detecções relacionadas a tentativas de exploração da CVE-2022-38028, que estão disponíveis aqui.
Análise do Ataque do Forest Blizzard: Insights sobre a Campanha de Ciberespionagem que Abusa da CVE-2022-38028
Microsoft Threat Intelligence recentemente compartilhou insights sobre a campanha de adversários em andamento atribuída ao Fancy Bear (também conhecido como APT28, Forest Blizzard, Pawn Storm, Sofacy Group ou Strontium), um grupo apoiado pelo GRU que pertence à Unidade 26165 da agência de inteligência militar da Rússia. Por mais de quatro anos, o Forest Blizzard tem usado o GooseEgg, uma ferramenta personalizada do arsenal de adversários do grupo, para explorar a conhecida vulnerabilidade de elevação de privilégio no Windows Print Spooler (CVE-2022-38028) modificando um arquivo de restrições de JavaScript e executando-o com permissões de nível de SISTEMA.
O Fancy Bear tem um histórico de armar vulnerabilidades bem conhecidas, especialmente em produtos da Microsoft, para infiltrar alvos para suas atividades maliciosas, principalmente centradas na coleta de inteligência, mas não restritas a isso. O notório grupo patrocinado pelo Estado russo tem persistentemente alvo a Ucrânia e seus aliados desde a invasão em larga escala pela Rússia, como na campanha de phishing no final de 2023 contra entidades do setor público ucraniano e várias organizações na Polônia relatadas pelo CERT-UA.
Na campanha em longo prazo em andamento, os adversários têm alvo organizações do setor público e privado na Ucrânia, Europa Ocidental e América do Norte. Usar o GooseEgg permite que atores de ameaça obtenham acesso elevado aos sistemas alvo, roubem dados sensíveis e prossigam com o desenvolvimento do ataque, levando a RCE, implantação de backdoor e movimento lateral dentro das redes impactadas.
O Forest Blizzard está focado em objetivos de inteligência estratégica, o que o distingue de outros grupos afiliados ao GRU, como o Seashell Blizzard (IRIDIUM) e Cadet Blizzard (DEV-0586). Enquanto grupos de hackers ligados à Rússia têm armado vulnerabilidades conhecidas como PrintNightmare (CVE-2021-34527 e CVE-2021-1675), a divulgação do GooseEgg no kit de ferramentas ofensivas do Forest Blizzard requer atenção e ultra-responsividade dos defensores na linha de frente cibernética.
Comumente, o GooseEgg é implantado junto com um script em lote que aciona o executável correspondente do GooseEgg e estabelece persistência criando uma tarefa agendada. O binário GooseEgg facilita comandos para ativar a exploração do bug do Windows Print Spooler e acionar um DLL ou um executável com privilégios elevados. Além disso, ele confirma a ativação bem-sucedida do exploit utilizando o comando “whoami”.
A Microsoft abordou a CVE-2022-38028 na atualização de segurança relacionada publicada em outubro de 2022, com crédito dado à NSA dos EUA por relatar originalmente a falha. Como outras etapas potenciais de mitigação da CVE-2022-38028, pesquisadores recomendam desativar o serviço em controladores de domínio e adotar estratégias de defesa cibernética proativas para minimizar os riscos de intrusões de adversários.
Com o aumento de ataques vinculados ao grupo Forest Blizzard apoiado pela Rússia, também conhecido como Fancy Bear, mirando organizações globais, especificamente na atividade contínua mais recente que emprega o malware personalizado GooseEgg, as equipes de segurança estão se esforçando para fortalecer suas defesas em escala. Ao tirar proveito do Attack Detective, o avançado SaaS para Validação de Pilha de Caça e Detecção de Ameaças Automatizadas, as organizações podem identificar efetivamente pontos cegos em sua cobertura de detecção, obter visibilidade em tempo real da superfície de ataque e encontrar falhas antes que os adversários tenham a chance de agir.
