O malware apelidado de “GooseEgg”, está sendo utilizado pelo grupo de ameaças russo APT28 para explorar uma vulnerabilidade conhecida no Windows Print Spooler, resultando na invasão de redes e no roubo de credenciais.

A Microsoft está instando as organizações a corrigirem essa vulnerabilidade, pois observou o malware sendo implantado contra alvos na América do Norte, Europa Ocidental e Ucrânia. Os pesquisadores da Microsoft Threat Intelligence descreveram o GooseEgg como um aplicativo simples que permite a execução remota de código, instalação de backdoor e movimento lateral, sendo usado pelo APT28 desde pelo menos junho de 2020 para explorar a vulnerabilidade CVE-2022-38028 no spooler de impressão do Windows.

O ataque do APT28 envolve a modificação de um arquivo de restrições JavaScript no spooler de impressão e sua execução com permissões de nível SYSTEM.

O GooseEgg é normalmente implantado por meio de scripts em lote que configuram persistência como uma tarefa agendada. O APT28, é vinculado à Diretoria de Inteligência Principal do Estado Maior da Rússia (GRU) e é especialista em coleta estratégica de informações para o Kremlin.