24h España.

24h España.

Hackers rusos explotan vulnerabilidades de Windows con GooseEgg, advierte Microsoft

Hackers rusos explotan vulnerabilidades de Windows con GooseEgg, advierte Microsoft

Investigadores de ciberseguridad de Microsoft han alertado sobre la herramienta maliciosa personalizada GooseEgg, utilizada por el grupo de hackers rusos Forest Blizzard para explotar vulnerabilidades de Windows, como la identificada en el servicio Print Spooler, con el objetivo de ejecutar código de manera remota e instalar puertas traseras para el robo de credenciales.

Forest Blizzard, también conocido como Sofacy y Fancy Bear, está vinculado con la Unidad 26165 de la agencia de inteligencia militar de Rusia, que forma parte de la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).

Sus ataques se centran principalmente en organizaciones gubernamentales, energéticas y de transporte en países como Ucrania, Estados Unidos, Europa y Oriente Próximo, así como en medios de comunicación, instituciones educativas y organizaciones deportivas a nivel global.

Desde al menos el año 2010, Forest Blizzard ha estado recopilando inteligencia para respaldar las iniciativas de política exterior del Gobierno ruso. Recientemente, se ha descubierto que utilizan una herramienta llamada GooseEgg para aprovechar vulnerabilidades en Windows, como la del servicio Print Spooler.

El equipo de investigadores de Microsoft Threat Intelligence ha revelado que la vulnerabilidad del servicio Print Spooler fue explotada por Forest Blizzard a través de GooseEgg, permitiendo la ejecución de código en remoto y la instalación de una puerta trasera para actividades adicionales contra objetivos gubernamentales.

Además de Print Spooler, GooseEgg también se ha utilizado en vulnerabilidades del servicio PrintNightmare, solucionadas por Microsoft en 2021. Según los investigadores, esta herramienta se ha utilizado desde junio de 2020, y posiblemente desde abril de 2019.

Para protegerse de estos ataques, se recomienda a los usuarios y organizaciones actualizar Print Spooler y PrintNightmare y seguir las recomendaciones de protección de credenciales de Microsoft. También se aconseja utilizar programas antivirus como Microsoft Defender.