Amazon спільно з Microsoft та Cloudflare зупинила масштабну операцію російського угруповання Midnight Blizzard, яке намагалося отримати доступ до облікових записів Microsoft 365 через складну фішингову кампанію. Про це пише Bleeping Computer.
Як працювала атака APT29
За даними Amazon, хакери зламали низку легітимних сайтів і розмістили там шкідливий код, замаскований під base64. Приблизно 10% відвідувачів таких ресурсів перенаправлялися на фейкові сторінки перевірки Cloudflare — зокрема на домени на кшталт findcloudflare[.]com чи cloudflare[.]redirectpartners[.]com.
Ці сторінки запускали підроблений процес авторизації Microsoft device code, змушуючи жертв надати доступ до своїх акаунтів, фактично авторизуючи пристрої під контролем хакерів.
Для зниження підозр APT29 використовувала систему на основі cookies, щоб уникнути повторних редиректів для одного й того ж користувача.
Хто стоїть за атакою
APT29, також відоме як Midnight Blizzard, пов’язане з російською Службою зовнішньої розвідки. Це угруповання вже давно відоме своїми фішинговими методами: раніше воно атакувало дипломатичні установи ЄС, компанії Hewlett Packard Enterprise та TeamViewer.
Amazon вказує, що цього разу хакери вдосконалили технічний підхід. На відміну від попередніх атак, вони не використовували домени, що імітують AWS, та відмовилися від методів обходу багатофакторної автентифікації (MFA) через створення “app-specific passwords”.
Дії Amazon та партнерів
Після виявлення активності APT29, аналітики Amazon ізолювали EC2-інстанси, які використовувалися в атаках, і спільно з Cloudflare та Microsoft заблокували виявлені домени.
Однак хакери спробували перенести інфраструктуру до іншого хмарного провайдера та зареєструвати нові домени, що імітують Cloudflare. Amazon продовжує відстежувати їхні дії.
Головний директор із безпеки Amazon Сі Джей Мозес наголосив, що кампанія мала на меті отримання облікових даних і шпигунську діяльність, і що компанія й надалі приділятиме значну увагу відстеженню дій APT29.
