Microsoft ha recentemente messo in guardia sulle attività di un sofisticato gruppo di hacker sostenuto dal Cremlinoidentificato come APT28che ha sfruttato una vulnerabilità critica nel file Spooler di stampa di Windows. Questo exploit, che consente agli aggressori di aumentare i privilegi e rubare credenziali e dati, è stato effettuato utilizzando un file hacking finora sconosciuto chiamato Uovo D’Oca.
Rivelato da Microsoftquesto gruppo è attivo almeno da giugno 2020 e forse da aprile 2019, sfruttando la vulnerabilità CVE-2022-38028 informato dal Agenzia per la sicurezza nazionale degli Stati Uniti (NSA) e riparato nell’ottobre 2022 durante il Martedì della patch Microsoft di ottobre 2022. Tuttavia, nelle comunicazioni della società non vi era alcuna indicazione che la stessa fosse attivamente sfruttata.
APT28conosciuto anche con vari nomi come Bufera di neve nella foresta, Sednit, divano, Unità GRU 26165O Orso fantasiaè stato collegato dai governi degli Stati Uniti e del Regno Unito al Unità 26165 della direzione principale dell’intelligence dell’esercito russo, meglio conosciuto come GRUriferito ArsTechnica.
Questo gruppo ha effettuato numerosi attacchi informatici di alto profilo a partire dalla metà degli anni 2000, indirizzando i propri sforzi verso la raccolta di informazioni tramite l’hacking di un’ampia gamma di organizzazioni, principalmente negli Stati Uniti, in Europa e nel Medio Oriente.
Lo strumento Uovo D’Oca consente agli aggressori di ottenere privilegi di sistema, i più alti disponibili su Finestre: “Pur essendo una semplice applicazione di lancio, questa risorsa digitale è in grado di generare altre applicazioni specificate sulla riga di comando con autorizzazioni elevate”, ha osservato Microsoft.
Ciò consente agli autori delle minacce di supportare eventuali obiettivi secondari, come l’esecuzione di codice in modalità remota, l’installazione di backdoor e lo spostamento laterale attraverso reti compromesse. Uovo D’Ocache viene installato utilizzando un semplice script batch, ha dimostrato la sua capacità di mantenere la persistenza sui sistemi infetti, riavviandosi ad ogni avvio della macchina compromessa.
L’uso di detto strumento per distribuire a file dll dannosoin alcuni casi denominato “wayzgoose23.dll”, nel contesto del servizio Spooler di stampa con i permessi di sistema, è stato documentato.
Questo dll funziona come un lanciatore di applicazioni in grado di eseguire altri payload con autorizzazioni a livello di SISTEMA. Microsoft lo ha osservato Bufera di neve nella foresta usi Uovo D’Oca nelle attività successive all’impegno contro obiettivi, tra cui organizzazioni governative e non governative, del settore dell’istruzione e dei trasporti Ucraina, Europa occidentale E Nord America.
Tra gli attacchi di alto profilo attribuiti a APT28 viene riscontrato lo sfruttamento di uno zero-day nei router Cisco per distribuire malware Dente di giaguaro un anno fa, gli Stati Uniti e i servizi segreti americani avevano all’epoca avvertito Regno Unito; Da ultimo, nel mese di febbraio, un avviso congiunto del FBI, NSA e partner internazionali hanno avvertito che il gruppo di hacker ha utilizzato router EdgeRouter Di Ubiquiti violato per eludere il rilevamento negli attacchi.
Oltretutto, APT28 è stato collegato all’hacking di Parlamento federale tedesco (Bundestag tedesco) e le infiltrazioni nel Comitato per la campagna del Congresso democratico (DCCC) e il Comitato Nazionale Democratico (DNC) prima delle elezioni presidenziali Stati Uniti d’America del 2016.
Sono stati accusati i membri del gruppo di hacker Stati Uniti d’America due anni dopo per la sua partecipazione agli attacchi contro DNC E DCCCNel frattempo lui Consiglio dell’Unione Europea membri sanzionati di APT28 nell’ottobre 2020 a causa dell’hacking di Parlamento federale tedesco.
