Az Amazon meghiúsította az APT29 új kampányát

Az Amazon fenyegetésfelderítő csapata sikeresen azonosította és leállította az APT29 (más néven Midnight Blizzard), az orosz Külső Hírszerző Szolgálathoz (SVR) kötődő kibercsoport újabb támadási kampányát. A támadók legitim weboldalakat kompromittáltak, majd azok látogatóit saját, káros célú infrastruktúrájukra irányították át. A cél az volt, hogy a látogatók jóváhagyják támadók által irányított eszközök hitelesítését a Microsoft eszközkód-alapú azonosítási folyamatán keresztül. Ez a fajta “watering hole” taktika jól tükrözi az APT29 egyre kifinomultabb módszereit, és azt, hogy miként próbálnak minél szélesebb körből adatokat gyűjteni.

A kampány során a támadók több legitim weboldalba is obfuszkált JavaScript kódot injektáltak, amely a látogatók mintegy 10%-át irányította át hamis Cloudflare-verifikációs oldalakra (pl. findcloudflare[.]com és cloudflare[.]redirectpartners[.]com). Ezek az oldalak valósnak tűntek, de valójában az volt a céljuk, hogy elhitessék a felhasználóval, hogy hitelesítenie kell egy új eszközt – amely valójában a támadó irányítása alatt állt. Az APT29 kifinomult módszereket alkalmazott, mint például base64-kódolás, látogatószűrés sütik segítségével, és gyors infrastruktúraváltás blokkolás esetén. Bár nem történt kompromittálás az AWS rendszereiben, az Amazon gyorsan elszigetelte az érintett EC2 példányokat, és együttműködött a Cloudflare-rel, valamint a Microsofttal a támadás megszakításában.

Az Amazon szerint a felhasználóknak fokozott óvatossággal kell kezelniük a gyanús átirányításokat, különösen azokat, amelyek biztonsági verifikációra hivatkoznak. Az IT-vezetőknek érdemes megfontolniuk a Microsoft eszközhitelesítési folyamatának kikapcsolását, ha az nem szükséges, valamint feltétlenül alkalmazniuk kell feltételes hozzáférési szabályokat és részletes naplózást.

(forrás)