Un grupo de hackers rusos, presuntamente contratados por el Estado, ha desarrollado una nueva herramienta llamada GooseEgg para atacar sistemas Windows.
Robo de credenciales y abriendo más puertas
Esta herramienta permite a los atacantes robar credenciales e instalar puertas traseras en los sistemas comprometidos, poniendo en riesgo información confidencial y la seguridad de las redes.
El grupo, conocido como APT28 o Fancy Bear, está vinculado a la unidad militar 26165 de la inteligencia militar rusa. Según Microsoft, los hackers han utilizado GooseEgg para atacar a gobiernos, sistemas de transporte e instituciones académicas en Estados Unidos, Europa occidental y Ucrania.
GooseEgg explota una vulnerabilidad en el servicio de cola de impresión de Windows, identificada como CVE-2022-38028 y solucionada en octubre de 2022.
Ejecución con permisos a nivel sistema
Sin embargo, los hackers han modificado un archivo de restricciones de JavaScript para ejecutar la herramienta con permisos de nivel de sistema, lo que les otorga un gran poder de control sobre los sistemas infectados.
Las capacidades de GooseEgg son amplias:
- Generar otras aplicaciones maliciosas con permisos elevados.
- Ejecutar código de forma remota.
- Instalar puertas traseras para mantener el acceso persistente.
- Moverse lateralmente por redes comprometidas.
La importancia de las actualizaciones
Este caso pone de relieve la importancia de mantener los sistemas actualizados con los últimos parches de seguridad.
Aunque algunas actualizaciones puedan generar problemas con archivos o aplicaciones personales, son fundamentales para corregir vulnerabilidades que podrían ser explotadas por ciberdelincuentes.
Microsoft está tomando medidas urgentes para combatir esta amenaza. La compañía ha calificado la situación como su “prioridad número uno” y está redoblando esfuerzos en seguridad, incluso por encima de otras características e inversiones.
Además de GooseEgg, los hackers también estarían utilizando otra vulnerabilidad, CVE-2017-8570, que afecta a Microsoft Office y se propaga a través de documentos de PowerPoint modificados.
