APT29利用Windows功能破坏欧洲外交实体网络

这名与俄罗斯有联系的APT29民族国家行为者在一次针对一个未具名的欧洲外交实体的网络钓鱼攻击后，被发现利用了一种名为“凭据漫游”的“鲜为人知”的Windows功能。

Mandiant研究人员Thibault Van Geluwe de Berlaere在一份技术报告中表示：“以外交为中心的目标与俄罗斯的战略优先事项以及历史性的APT29目标一致”。

APT29是一个俄罗斯间谍组织，也被称为Cozy Bear、Iron Hemlock和The Dukes，以其旨在收集符合国家战略目标的情报的入侵而闻名。据信它是由外国情报局（SVR）赞助的。

一些对抗集体的网络活动以“诺贝尔”(Nobelium)的名义公开跟踪，这是一个威胁集群，在2020年12月通过SolarWinds软件造成了广泛的供应链泄露。

谷歌旗下的威胁情报和事件响应公司表示，该公司在2022年初APT29出现在受害者网络中期间发现了凭据漫游的使用，当时针对Active Directory系统执行了“大量具有非典型属性的LDAP查询”。

凭据漫游是Windows Server 2003 Service Pack 1（SP1）中引入的一种机制，允许用户在Windows域中的不同工作站之间以安全的方式访问其凭据（即私钥和证书）。

根据Microsoft的说法，“凭据漫游将用户凭据存储在用户对象中的ms-PPKI DPAPIMasterKeys和ms-PPKI AccountCredentials属性中”，后者被描述为包含加密凭据对象的二进制大对象（BLOB）的多值LDAP属性。

根据谷歌子公司的说法，APT29查询的LDAP属性之一涉及ms PKI凭据漫游令牌，它处理“用于漫游的加密用户凭据令牌BLOB的存储”。

Mandiant进一步调查了其内部工作，强调发现了一个任意文件写入漏洞，该漏洞可能被威胁行为者武器化，以在登录的受害者的上下文中实现远程代码执行。

该缺陷被追踪为CVE-2022-30170（CVSS评分7.3），作为2022年9月13日发布的补丁星期二更新的一部分，微软解决了该缺陷，该公司强调，利用漏洞需要用户登录Windows。

它指出：“成功利用该漏洞的攻击者可以获得对受害者帐户通常不具有该权限的计算机的远程交互登录权限”。

Mandiant表示，这项研究“深入了解了APT29为何在Active Directory中主动查询相关LDAP属性”，敦促各组织应用2022年9月的修补程序以防止该漏洞。