Cercetătorii Amazon au descoperit și oprit o campanie de atac cibernetic atribuită grupului Midnight Blizzard, cunoscut și sub numele APT29, care a vizat accesul la conturi și date Microsoft 365 prin compromiterea unor site-uri legitime.
Specialiștii au observat o campanie de tip watering hole: atacatorii au preluat controle asupra mai multor site-uri legitime și au introdus cod malițios ascuns în baza64. Vizitatorii erau redirecționați aleatoriu, cam 10% dintre cei care intrau pe paginile compromise erau trimiși către domenii care imitau pagini de verificare Cloudflare, de exemplu findcloudflare[.]com sau cloudflare[.]redirectpartners[.]com. Scopul: să ducă victimele spre un flux fals de autentificare prin cod de dispozitiv Microsoft, încercând să convingă utilizatorii să autorizeze dispozitive controlate de atacatori.
Amazon a descoperit aceste domenii în urma unui analytic creat pentru a monitoriza infrastructura APT29. Investigația a scos la iveală și faptul că atacatorii foloseau cookie-uri pentru a nu redirecționa aceeași persoană de mai multe ori, o metodă simplă pentru a părea mai puțin suspicioși. De asemenea, codul malițios era mascat prin encodare base64, ceea ce face detectarea mai dificilă pentru ochiul obișnuit.
După identificare, echipa de threat intelligence a Amazon a izolat instanțele EC2 folosite de atacatori și a colaborat cu Cloudflare și Microsoft pentru a întrerupe domeniile folosite în atac. Cercetătorii au observat apoi că APT29 a încercat să-și mute infrastructura către un alt furnizor de cloud și a înregistrat noi domenii, printre care cloudflare[.]redirectpartners[.]com, dar acțiunile de monitorizare au permis întreruperea efortului.
Amazon subliniază că motivul campaniei rămâne colectarea de acreditări și informații, însă grupul pare să-și fi rafinat tehnica: în loc să imite domenii AWS sau să folosească trucuri pentru a ocoli autentificarea multi-factor prin parole de aplicații, atacatorii au adoptat acum fluxuri de autorizare a dispozitivelor mai înșelătoare.
Recomandările practice sunt simple și utile: utilizatorii trebuie să verifice cererile de autorizare a dispozitivelor, să activeze autentificarea multi-factor și să evite executarea de comenzi copiate direct de pe pagini web necunoscute. Administratorii ar trebui să dezactiveze funcționalitățile de autorizare de dispozitive care nu sunt necesare, să aplice politici stricte de acces condiționat și să monitorizeze evenimentele de autentificare pentru comportamente suspecte.
Amazon a precizat că infrastructura sa nu a fost compromisă și serviciile nu au fost afectate de această campanie.
Ce părere ai despre măsurile preventive propuse, sunt practice pentru organizația ta?
Fii primul care comentează