Rusya bağlantılı APT29 ulus devleti aktörünün, adı açıklanmayan bir Avrupa diplomatik kuruluşuna yönelik saldırısının bir parçası olarak Credential Roaming adlı “daha az bilinen” bir Windows özelliğinden yararlandığı tespit edildi.
Mandiant araştırmacısı Thibault Van Geluwe de Berlaere, “Diplomatik merkezli hedefleme, Rus stratejik öncelikleri ve tarihi APT29 hedeflemesi ile tutarlıdır.” söz konusu teknik bir yazımda.
Cozy Bear, Iron Hemlock ve The Dukes olarak da adlandırılan bir Rus casusluk grubu olan APT29, bilinen ülkenin stratejik hedefleriyle uyumlu istihbarat toplamayı amaçlayan izinsiz girişlerinden dolayı. Dış İstihbarat Servisi (SVR) tarafından desteklendiğine inanılıyor.
Rakip kolektifin siber etkinliklerinden bazıları, Aralık 2020’de SolarWinds yazılımı aracılığıyla yaygın tedarik zinciri uzlaşmasından sorumlu bir tehdit kümesi olan Nobelium takma adı altında herkese açık olarak izleniyor.
Google’ın sahip olduğu tehdit istihbaratı ve olay müdahale şirketi, 2022’nin başlarında kurban ağında APT29’un bulunduğu süre boyunca Kimlik Bilgileri Dolaşımının kullanıldığını tespit ettiğini ve bu noktada “çok sayıda” olduğunu söyledi. LDAP Atipik özelliklere sahip sorgular” Active Directory sistemine karşı gerçekleştirildi.
Windows Server 2003 Service Pack 1’de (SP1) tanıtılan Kimlik Bilgileri Dolaşımı, mekanizma kullanıcıların yapmasına izin veren kimlik bilgilerine eriş (yani, özel anahtarlar ve sertifikalar) bir Windows etki alanındaki farklı iş istasyonları arasında güvenli bir şekilde.
Mandiant, iç işleyişini daha da araştırarak, oturum açmış kurban bağlamında uzaktan kod yürütülmesini sağlamak için bir tehdit aktörü tarafından silah haline getirilebilecek rastgele bir dosya yazma güvenlik açığının keşfinin altını çizdi.
Eksiklik, takip edilen CVE-2022-30170Microsoft tarafından 13 Eylül 2022’de gönderilen Patch Salı güncellemelerinin bir parçası olarak ele alındı ve şirket, istismarın bir kullanıcının Windows’ta oturum açmasını gerektirdiğini vurguladı.
Güvenlik açığından başarıyla yararlanan bir saldırgan, kurbanın hesabının normalde böyle bir ayrıcalığa sahip olmadığı bir makinede uzaktan etkileşimli oturum açma hakları elde edebilir.
Mandiant, araştırmanın “APT29’un Active Directory’deki ilgili LDAP özniteliklerini neden aktif olarak sorguladığına dair bir fikir verdiğini” belirterek, kurumları kusura karşı güvence altına almak için Eylül 2022 yamalarını uygulamaya çağırdı.
