×

Группировка APT29 взломала сеть европейских дипломатических учреждений

Группировка APT29 взломала сеть европейских дипломатических учреждений

Оружием в руках злоумышленников стала уязвимость в функции Credential Roaming.

Группировка APT29 использовала функцию Credential Roaming после успешной фишинговой атаки на неназванное европейское дипломатическое учреждение. Об этом сообщили эксперты Mandiant, которые обнаружили использование Credential Roaming, после того, как хакеры из APT29 побывали в сети жертвы, выполнив в системе Active Directory множество LDAP-запросы с нетипичными свойствами.

Функция Credential Roaming впервые появилась в Windows Server 2003 Service Pack 1 (SP1) и представляет собой механизм, позволяющий пользователям получать доступ к своим учетным данным (т.е. закрытым ключам и сертификатам) безопасным образом на различных рабочих станциях в домене Windows.

Исследовав внутренние механизмы функции, Mandiant обнаружили то, чем воспользовались злоумышленники – уязвимость CVE-2022-30170 , которая позволяет хакерам записывать произвольные файлы. Эта брешь в защите была устранена в рамках сентябрьского вторника исправлений, а для ее эксплуатации злоумышленник должен проникнуть в систему под видом пользователя.

Как отмечают исследователи компании, успешная эксплуатация уязвимости позволяет злоумышленнику получить права удаленного интерактивного входа в систему на машине, где у жертвы нет таких прав.

Mandiant заявила, что исследование "дает представление о том, почему APT29 активно запрашивает соответствующие атрибуты LDAP в Active Directory", и призвала организации как можно скорее применить сентябрьские исправления.

Илон Маск обнародовал переписку Twitter с Белым Домом

Из документов следует, что администрация Twitter удаляла твиты пользователей и знаменитостей «по указанию политической партии».

Новое вредоносное ПО Redigo атакует серверы Redis

Злоумышленники внедряют вредоноса, используя критическую RCE-уязвимость.

Роскомнадзор пояснил, относится ли аура человека к биометрическим данным

В ведомстве считают, что согласно действующему законодательству, это в принципе не запрещено.