Группировка APT29 взломала сеть европейских дипломатических учреждений

Группировка APT29 взломала сеть европейских дипломатических учреждений

Оружием в руках злоумышленников стала уязвимость в функции Credential Roaming.

image

Группировка APT29 использовала функцию Credential Roaming после успешной фишинговой атаки на неназванное европейское дипломатическое учреждение. Об этом сообщили эксперты Mandiant, которые обнаружили использование Credential Roaming, после того, как хакеры из APT29 побывали в сети жертвы, выполнив в системе Active Directory множество LDAP-запросы с нетипичными свойствами.

Функция Credential Roaming впервые появилась в Windows Server 2003 Service Pack 1 (SP1) и представляет собой механизм, позволяющий пользователям получать доступ к своим учетным данным (т.е. закрытым ключам и сертификатам) безопасным образом на различных рабочих станциях в домене Windows.

Исследовав внутренние механизмы функции, Mandiant обнаружили то, чем воспользовались злоумышленники – уязвимость CVE-2022-30170 , которая позволяет хакерам записывать произвольные файлы. Эта брешь в защите была устранена в рамках сентябрьского вторника исправлений, а для ее эксплуатации злоумышленник должен проникнуть в систему под видом пользователя.

Как отмечают исследователи компании, успешная эксплуатация уязвимости позволяет злоумышленнику получить права удаленного интерактивного входа в систему на машине, где у жертвы нет таких прав.

Mandiant заявила, что исследование "дает представление о том, почему APT29 активно запрашивает соответствующие атрибуты LDAP в Active Directory", и призвала организации как можно скорее применить сентябрьские исправления.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!