Amazon oznámil, že narušil kampaň ruské hackerské skupiny APT29, která využívala kompromitované weby k přesměrování uživatelů na podvodné stránky napodobující ověřovací proces Microsoftu. Útok měl za cíl přimět oběti, aby zadaly kód zařízení, a tím útočníkům umožnily přístup k jejich účtům.

APT29, známá také jako Cozy Bear, je spojována s ruskou zahraniční zpravodajskou službou. Skupina byla v minulosti aktivní při útocích na ukrajinské instituce, kde využívala například škodlivé RDP konfigurace. V letošním roce byla sledována při různých phishingových metodách, včetně zneužití funkce přidávání zařízení u Microsoft 365 účtů.

Podle bezpečnostního ředitele Amazonu CJ Mosese útok zahrnoval vložení škodlivého JavaScriptu do kompromitovaných webů, který přesměrovával asi 10 % návštěvníků na domény řízené útočníky. Ty napodobovaly legitimní stránky Cloudflare a Microsoftu. Kampaň byla navíc obohacena o techniky, které ztěžují detekci – od kódování Base64 až po blokování opakovaných přesměrování pomocí cookies.

Amazon uvedl, že útoky byly součástí dlouhodobého úsilí APT29 o získání přístupu k přihlašovacím údajům a citlivým datům. I přes snahu skupiny přesunout infrastrukturu mimo AWS se týmu podařilo operace nadále sledovat a narušovat.

Incident ukazuje, že státem podporované skupiny stále zdokonalují své metody a cílí na zneužívání legitimních autentizačních procesů. To podtrhuje potřebu firem posilovat detekci a chránit uživatele před stále sofistikovanějšími phishingovými technikami.

Zdroj: The Hacker News