Se descubrió que el actor de estado-nación APT29 vinculado a Rusia aprovecha una función de Windows “menos conocida” llamada Credential Roaming luego de un exitoso ataque de phishing contra una entidad diploma tica europea no identificada.
“La orientación centrada en la diplomacia es consistente con las prioridades estratégicas rusas, así como con la orientación histórica de APT29”, dijo el investigador de Mandiant Thibault Van Geluwe de Berlaere en un artículo técnico.
APT29, un grupo de espionaje ruso también llamado Cozy Bear, Iron Hemlock y The Dukes, es conocido por sus intrusiones destinadas a recopilar inteligencia que se alinea con los objetivos estratégicos del país. Se cree que esta patrocinado por el Servicio de Inteligencia Exterior (SVR).
Algunas de las actividades cibernéticas del colectivo adversario se rastrean públicamente bajo el nombre de Nobelium , un grupo de amenazas responsable del compromiso generalizado de la cadena de suministro a través del software SolarWinds en diciembre de 2020.
La firma de inteligencia de amenazas y respuesta a incidentes propiedad de Google dijo que identificó el uso de Credential Roaming durante el tiempo que APT29 estuvo presente dentro de la red de la víctima a principios de 2022, momento en el que se realizaron “numerosas consultas LDAP con propiedades atípicas” contra el sistema Active Directory. .
Introducido en Windows Server 2003 Service Pack 1 (SP1), Credential Roaming es un mecanismo que permite a los usuarios acceder a sus credenciales (es decir, claves privadas y certificados) de manera segura en diferentes estaciones de trabajo en un dominio de Windows.
Según Microsoft, “Credential Roaming almacena las credenciales de usuario en los atributos ms-PKI-DPAPIMasterKeys y ms-PKI-AccountCredentials en el objeto de usuario”, y este último se describe como una propiedad LDAP de varios valores que contiene objetos binarios grandes (BLOB) de objetos de credenciales encriptados.
Uno de los atributos LDAP consultados por APT29, según la subsidiaria de Google, se refería a ms-PKI-Credential-Roaming-Tokens, que maneja el “almacenamiento de BLOB de token de credenciales de usuario encriptadas para roaming”.
Al investigar ma s a fondo su funcionamiento interno, Mandiant destacó el descubrimiento de una vulnerabilidad de escritura de archivo arbitraria que podría ser armada por un actor de amenazas para lograr la ejecución remota de código en el contexto de la víctima que inició sesión.
Microsoft solucionó la deficiencia, rastreada como CVE-2022-30170 (puntuación CVSS 7.3), como parte de las actualizaciones de Patch Tuesday enviadas el 13 de septiembre de 2022, y la compañía enfatizó que la explotación requiere que el usuario inicie sesión en Windows.
“Un atacante que explotara con éxito la vulnerabilidad podría obtener derechos de inicio de sesión interactivos remotos en una ma quina donde la cuenta de la víctima normalmente no tendría tal privilegio”, señaló.
Mandiant dijo que la investigación “ofrece una idea de por qué APT29 esta consultando activamente los atributos LDAP relacionados en Active Directory”, instando a las organizaciones a aplicar los parches de septiembre de 2022 para protegerse contra la falla.
FUENTE: THN-INGMACUDI