Se descubrió que el actor de estado-nación APT29 vinculado a Rusia aprovecha una función de Windows «menos conocida» llamada Credential Roaming como parte de su ataque contra una entidad diplomática europea no identificada.
«La orientación centrada en la diplomacia es consistente con las prioridades estratégicas rusas, así como con la orientación histórica de APT29», dijo el investigador de Mandiant Thibault Van Geluwe de Berlaere en un artículo técnico.
APT29, un grupo de espionaje ruso también llamado Cozy Bear, Iron Hemlock y The Dukes, es conocido por sus intrusiones destinadas a recopilar inteligencia que se alinea con los objetivos estratégicos del país. Se cree que está patrocinado por el Servicio de Inteligencia Exterior (SVR).
Algunas de las actividades cibernéticas del colectivo adversario se rastrean públicamente bajo el nombre de Nobelium , un grupo de amenazas responsable del compromiso generalizado de la cadena de suministro a través del software SolarWinds en diciembre de 2020.
La firma de inteligencia de amenazas y respuesta a incidentes propiedad de Google dijo que identificó el uso de Credential Roaming durante el tiempo que APT29 estuvo presente dentro de la red de la víctima a principios de 2022, momento en el que se realizaron «numerosas consultas LDAP con propiedades atípicas» contra el sistema Active Directory.
Monitoreo de computadoras de empleados centralizado, todo en uno y de alto nivel, diseñado para empresas, organizaciones educativas y gobiernos.
Conocer..
Introducido en Windows Server 2003 Service Pack 1 (SP1), Credential Roaming es un mecanismo que permite a los usuarios acceder a sus credenciales (es decir, claves privadas y certificados) de manera segura en diferentes estaciones de trabajo en un dominio de Windows.
Al investigar más a fondo su funcionamiento interno, Mandiant destacó el descubrimiento de una vulnerabilidad de escritura de archivo arbitraria que podría ser armada por un actor de amenazas para lograr la ejecución remota de código en el contexto de la víctima que inició sesión.
Microsoft solucionó la deficiencia, rastreada como CVE-2022-30170, como parte de las actualizaciones de Patch Tuesday enviadas el 13 de septiembre de 2022, y la compañía enfatizó que la explotación requiere que el usuario inicie sesión en Windows.
«Un atacante que explotara con éxito la vulnerabilidad podría obtener derechos de inicio de sesión interactivos remotos en una máquina donde la cuenta de la víctima normalmente no tendría tal privilegio», señaló.
Mandiant dijo que la investigación «ofrece una idea de por qué APT29 está consultando activamente los atributos LDAP relacionados en Active Directory», instando a las organizaciones a aplicar los parches de septiembre de 2022 para protegerse contra la falla.
Fuente: thehackernews
Si te ha gustado, ¡compártelo con tus amigos!
