俄罗斯黑客组织APT29利用Windows功能进行攻击

关键要点

APT29又称舒适熊、杜克斯和铁紫杉攻击了一家未透露姓名的欧洲外交组织。黑客利用Windows Credential Roaming特性，通过不寻常的LDAP查询进入网络。存在一个文件写入漏洞CVE20223170，可能导致远程代码执行。该漏洞的修复已在微软九月份的补丁更新中发布。

根据《黑客新闻》的报道，俄罗斯国家赞助的黑客集团APT29最近攻击了一家未公开名称的欧洲外交组织，攻陷方式为利用Windows的凭据漫游功能。Mandiant研究人员最早在APT29进入该组织网络时发现了这一利用方式，期间对Active Directory系统进行了多次异常的LDAP查询。

除了利用凭据漫游功能，攻击者还可能利用一个被称为CVE20223170的任意文件写入漏洞。这一漏洞会在攻击者成功登录Windows后，允许进行远程代码执行。Mandiant的研究人员指出：“成功利用该漏洞的攻击者可以获得一台计算机的远程交互式登录权限，而受害者的账户通常并没有这样的特权。”

Windows 凭据漫游在新的 APT29 攻击中媒体

Mandiant呼吁立即修复这一漏洞，微软已经在九月份的补丁更新中对此漏洞进行了修复。

相关链接 APT29介绍及其攻击手法 APT29攻击解读

对于使用Windows操作系统的组织，务必保持系统更新，以防止潜在的安全威胁。