Se descubri\u00f3 que el actor de estado-naci\u00f3n APT29 vinculado a Rusia aprovecha una funci\u00f3n de Windows “menos conocida” llamada Credential Roaming como parte de su ataque contra una entidad diplom\u00e1tica europea no identificada.<\/p>\n
“La orientaci\u00f3n centrada en la diplomacia es coherente con las prioridades estrat\u00e9gicas rusas, as\u00ed como con la orientaci\u00f3n hist\u00f3rica de APT29”, dijo el investigador de Mandiant Thibault Van Geluwe de Berlaere. dijo<\/a> en un informe t\u00e9cnico.<\/p>\n APT29, un grupo de espionaje ruso tambi\u00e9n llamado Cozy Bear, Iron Hemlock y The Dukes, es conocido<\/a> por sus intrusiones destinadas a recopilar inteligencia que se alinee con los objetivos estrat\u00e9gicos del pa\u00eds. Se cree que est\u00e1 patrocinado por el Servicio de Inteligencia Exterior (SVR).<\/p>\n Algunas de las actividades cibern\u00e9ticas del colectivo adversario se rastrean p\u00fablicamente bajo el nombre de Nobelium, un grupo de amenazas responsable del compromiso generalizado de la cadena de suministro a trav\u00e9s del software SolarWinds en diciembre de 2020.<\/p>\n La firma de respuesta a incidentes e inteligencia de amenazas propiedad de Google dijo que identific\u00f3 el uso de Credential Roaming durante el tiempo que APT29 estuvo presente dentro de la red de la v\u00edctima a principios de 2022, momento en el que “numerosos LDAP<\/a> consultas con propiedades at\u00edpicas” se realizaron contra el sistema Active Directory.<\/p>\n Introducido en Windows Server 2003 Service Pack 1 (SP1), Credential Roaming es un mecanismo<\/a> que permite a los usuarios acceder a sus credenciales<\/a> (es decir, claves privadas y certificados) de manera segura en diferentes estaciones de trabajo en un dominio de Windows.<\/p>\n Al investigar m\u00e1s a fondo su funcionamiento interno, Mandiant destac\u00f3 el descubrimiento de una vulnerabilidad de escritura de archivo arbitraria que podr\u00eda ser armada por un actor de amenazas para lograr la ejecuci\u00f3n remota de c\u00f3digo en el contexto de la v\u00edctima que inici\u00f3 sesi\u00f3n.<\/p>\n![\"Hacking](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668007829_232_APT29-aprovecho-una-caracteristica-de-Windows-para-comprometer-la-red.jpg\" "\\"Hacking")
<\/div>\n![](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/El-servicio-de-phishing-de-Robin-Banks-para-ciberdelincuentes-regresa.gif\")
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/div>\n