Группировка APT29 взломала сеть европейских дипломатических учреждений

Группировка APT29 использовала функцию Credential Roaming после успешной фишинговой атаки на неназванное европейское дипломатическое учреждение. Об этом сообщили эксперты Mandiant , которые обнаружили использование Credential Roaming, после того, как хакеры из APT29 побывали в сети жертвы, выполнив в системе Active Directory множество LDAP-запросы с нетипичными свойствами.

Функция Credential Roaming впервые появилась в Windows Server 2003 Service Pack 1 (SP1) и представляет собой механизм, позволяющий пользователям получать доступ к своим учетным данным (т.е. закрытым ключам и сертификатам) безопасным образом на различных рабочих станциях в домене Windows.

Исследовав внутренние механизмы функции, Mandiant обнаружили то, чем воспользовались злоумышленники – уязвимость CVE-2022-30170 , которая позволяет хакерам записывать произвольные файлы. Эта брешь в защите была устранена в рамках сентябрьского вторника исправлений, а для ее эксплуатации злоумышленник должен проникнуть в систему под видом пользователя.

Как отмечают исследователи компании, успешная эксплуатация уязвимости позволяет злоумышленнику получить права удаленного интерактивного входа в систему на машине, где у жертвы нет таких прав.

Mandiant заявила, что исследование "дает представление о том, почему APT29 активно запрашивает соответствующие атрибуты LDAP в Active Directory", и призвала организации как можно скорее применить сентябрьские исправления.