Observatorio de Amenazas

Print Spooler: El talón de Aquiles de Windows, explotado por APT28

Escrito por Javiera González | 25-04-24

Se ha identificado una reciente actividad del grupo de amenazas ruso APT28, que ha estado explotando una vulnerabilidad crítica de Windows Print Spooler (CVE-2022-38028) para escalar privilegios y robar credenciales y datos sensibles. Para lograr sus objetivos, APT28 ha desarrollado una nueva herramienta de piratería llamada GooseEgg, que les ha permitido ejecutar ataques sigilosos y altamente efectivos.

Vulnerabilidad CVE-2022-38028

La vulnerabilidad CVE-2022-38028 afecta al servicio Windows Print Spooler, un componente esencial del sistema operativo que administra la impresión de documentos. Esta vulnerabilidad permite a un actor malicioso ejecutar código arbitrario con privilegios de sistema, lo que le otorga un control completo sobre el sistema afectado.

Herramienta de piratería GooseEgg

GooseEgg es una herramienta de piratería sigilosa que ha sido desarrollada por APT28 para explotar la vulnerabilidad CVE-2022-38028. Esta herramienta permite a los atacantes ejecutar comandos con privilegios de SISTEMA, instalar malware, robar datos y moverse lateralmente a través de las redes de las víctimas. GooseEgg se caracteriza por su capacidad para evadir las técnicas de detección tradicionales, lo que la convierte en una herramienta altamente efectiva para ataques sigilosos.

Modus Operandi de APT28:

APT28 ha estado utilizando GooseEgg para llevar a cabo una serie de ataques sofisticados contra organizaciones gubernamentales, no gubernamentales, educativas y del sector del transporte.

Impacto

Los ataques de APT28 que utilizan GooseEgg representan una grave amenaza para las organizaciones de todo el mundo. Las consecuencias de estos ataques pueden incluir:

  • Robo de datos confidenciales: Los atacantes pueden robar información confidencial, como credenciales, datos financieros, propiedad intelectual y secretos comerciales.
  • Pérdida de integridad de datos: Los atacantes pueden alterar o destruir datos críticos, lo que puede tener un impacto significativo en las operaciones comerciales.
  • Disrupción del negocio: Los ataques pueden interrumpir las operaciones comerciales, causando pérdidas financieras y daños a la reputación.
  • Espionaje y ciberespionaje: Los atacantes pueden utilizar la información robada para realizar actividades de espionaje y ciberespionaje contra sus víctimas.

Recomendaciones

Los usuarios y organizaciones debe implementar medidas de seguridad adecuadas para protegerse:

  • Capacitar a los empleados: Concientice a los empleados sobre los riesgos de las amenazas cibernéticas y las mejores prácticas de seguridad para proteger la información confidencial, reducir el riesgo de ataques de phishing y otras técnicas de ingenieria social.
  • Implementar un servicio de ethical hacking: Contrate un servicio de ethical hacking para mitigar el riesgo del ataque APT28, esto le permitirá identificar y evaluar las vulnerabilidades antes de que sean explotadas, mejorar la postura de seguridad general y desarrollar un plan de respuesta a incidentes efectivo.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!

Fuentes

https://www.bleepingcomputer.com/news/security/microsoft-russian-apt28-hackers-exploit-windows-flaw-reported-by-nsa-using-gooseegg-tool/

https://www.linkedin.com/pulse/microsoft-advierte-que-apt28-explota-una-vulnerabilidad-cr%C3%ADtica-sl1vc/

https://cibernovedades.com/microsoft-los-hackers-de-apt28-aprovechan-una-vulnerabilidad-de-windows-denunciada-por-la-nsa/

https://www.reddit.com/r/TierraSapiens/comments/1carxiq/microsoft_los_hackers_de_apt28_explotan_falla_de/?rdt=44789