Investigadores de ciberseguridad de Microsoft han encontrado un malware usado por ciberdelincuentes patrocinados por el estado ruso que utilizan para hacerse con credenciales en redes comprometidas.
Los expertos de la compañía de Redmond creen que este código malicioso es exclusivo del grupo de piratas informáticos Forest Blizzard, que también se conoce como Fancy Bear y APT38 y que está asociado a la agencia militar rusa, GRU (Departamento Central de Inteligencia).
El informe compartido por los investigadores de Microsoft recoge que estos cibermalos han estado implementando el malware desde al menos junio de 2020 contra organizaciones estatales, no gubernamentales, educativas y de transporte en Ucrania, Europa occidental y Norteamérica.
La herramienta se conoce como 'GooseEgg' y explota una vulnerabilidad denominada CVE-2022-38028 que se encuentra en el servicio Windows Print Spooler, el cual gestiona los procesos de impresión.
Aunque la vulnerabilidad fue corregida por la empresa de Satya Nadella en 2022 todavía hay clientes que pueden ser víctimas al no haber hecho la actualización correspondiente.
"El uso de GooseEgg en las operaciones de Forest Blizzard es un descubrimiento único que no había sido informado previamente por los proveedores de seguridad", han asegurado los investigadores.
Otras maneras de actuar de la banda
Forest Blizzard también explota otros errores, como CVE-2023-23397 , que afecta a todas las versiones del software Microsoft Outlook en dispositivos Windows.
Microsoft ya había avisado hace unos meses sobre los intentos de estos hackers rusos para explotar este error y obtener acceso no autorizado a cuentas de email dentro de los servidores de Microsoft Exchange desde abril de 2022, según se hace eco The Record Media.
La firma de las ventanas también ha podido constatar que esta banda vinculada a la inteligencia rusa también tiene en su punto de mira a organizaciones de medios, empresas TIC, organizaciones deportivas e instituciones educativas.