Se descubrió que el actor de estado-nación APT29 vinculado a Rusia aprovecha una función de Windows «menos conocida» llamada Credential Roaming como parte de su ataque contra una entidad diplomática europea no identificada.
«La orientación centrada en la diplomacia es coherente con las prioridades estratégicas rusas, así como con la orientación histórica de APT29», dijo el investigador de Mandiant Thibault Van Geluwe de Berlaere. dijo en un informe técnico.
APT29, un grupo de espionaje ruso también llamado Cozy Bear, Iron Hemlock y The Dukes, es conocido por sus intrusiones destinadas a recopilar inteligencia que se alinee con los objetivos estratégicos del país. Se cree que está patrocinado por el Servicio de Inteligencia Exterior (SVR).
Algunas de las actividades cibernéticas del colectivo adversario se rastrean públicamente bajo el nombre de Nobelium, un grupo de amenazas responsable del compromiso generalizado de la cadena de suministro a través del software SolarWinds en diciembre de 2020.
La firma de respuesta a incidentes e inteligencia de amenazas propiedad de Google dijo que identificó el uso de Credential Roaming durante el tiempo que APT29 estuvo presente dentro de la red de la víctima a principios de 2022, momento en el que «numerosos LDAP consultas con propiedades atípicas» se realizaron contra el sistema Active Directory.
Introducido en Windows Server 2003 Service Pack 1 (SP1), Credential Roaming es un mecanismo que permite a los usuarios acceder a sus credenciales (es decir, claves privadas y certificados) de manera segura en diferentes estaciones de trabajo en un dominio de Windows.
Al investigar más a fondo su funcionamiento interno, Mandiant destacó el descubrimiento de una vulnerabilidad de escritura de archivo arbitraria que podría ser armada por un actor de amenazas para lograr la ejecución remota de código en el contexto de la víctima que inició sesión.
La deficiencia, rastreada como CVE-2022-30170fue abordado por Microsoft como parte de las actualizaciones de Patch Tuesday enviadas el 13 de septiembre de 2022, y la compañía enfatizó que la explotación requiere que el usuario inicie sesión en Windows.
«Un atacante que explotara con éxito la vulnerabilidad podría obtener derechos de inicio de sesión interactivos remotos en una máquina donde la cuenta de la víctima normalmente no tendría tal privilegio», señaló.
Mandiant dijo que la investigación «ofrece una idea de por qué APT29 está consultando activamente los atributos LDAP relacionados en Active Directory», instando a las organizaciones a aplicar los parches de septiembre de 2022 para protegerse contra la falla.