Amazon interrompe o Watering Hole russo do APT29 visando a autenticação da Microsoft

A Amazon interrompeu uma campanha russa de watering hole APT29 que usava sites comprometidos para atingir a autenticação da Microsoft com redirecionamentos maliciosos.

A equipe de segurança da Amazon identificou e interrompeu uma nova campanha do APT29, também identificado como Midnight Blizzard , um grupo de ameaças vinculado ao Serviço de Inteligência Estrangeiro da Rússia (SVR). Desta vez, o grupo havia criado uma campanha de watering hole , implantando código malicioso em sites legítimos para redirecionar visitantes desavisados ​​para uma infraestrutura controlada pelo invasor.

A partir daí, os invasores tentaram enganar as pessoas para que aprovassem dispositivos não autorizados por meio do sistema de autenticação de código de dispositivo da Microsoft, uma técnica que poderia ter dado a eles acesso a contas confidenciais.

Para sua informação, “Waterholing” ou watering hole é um tipo de ataque cibernético em que agentes maliciosos comprometem um site ou plataforma online frequentemente visitada por um grupo-alvo específico, com a intenção de infectar seus computadores com malware quando eles o visitam.

Vale ressaltar que, no passado, o APT29 se baseou em campanhas de phishing, como domínios falsos da AWS ou ataques de senhas específicas de aplicativos, visando acadêmicos e críticos da Rússia. Agora, eles estão usando sites comprometidos para redirecionar visitantes a sites maliciosos.

De acordo com a publicação no blog da Amazon, autorizada pelo diretor de segurança da informação da empresa, CJ Moses, descobriu-se que apenas cerca de 10% dos visitantes foram redirecionados, o que permitiu que os invasores evitassem a detecção fácil e ainda alcançassem as vítimas.

Os detalhes técnicos desta campanha revelaram técnicas destinadas a estender sua operação. O JavaScript malicioso foi ofuscado e codificado em base64, enquanto cookies foram usados ​​para impedir redirecionamentos múltiplos para o mesmo visitante e, quando os domínios foram bloqueados, os invasores rapidamente migraram para uma nova infraestrutura. Algumas das páginas falsas imitavam as telas de verificação do Cloudflare , tornando-as convincentes o suficiente para enganar visitantes casuais.

Assim que a Amazon detectou a atividade, eles isolaram as instâncias afetadas do EC2, trabalharam com a Cloudflare e outros provedores para cortar os domínios e repassaram informações para a Microsoft.

Mesmo quando o APT29 mudou para outro provedor de nuvem e registrou novos domínios, como cloudflareredirectpartnerscom , a Amazon continuou rastreando e interrompendo sua atividade para limitar o alcance da campanha.

Hackers patrocinados pelo governo têm recursos; eles também estão cheios de novas ideias, e esta campanha é apenas um exemplo. Portanto, os usuários devem ter cuidado com avisos inesperados, especialmente se um site solicitar a autorização de um novo dispositivo ou a cópia de comandos para o Windows.

Embora a autenticação multifator continue sendo uma das melhores ferramentas de segurança cibernética, o sistema de código de dispositivos da Microsoft deve ser sempre verificado duas vezes antes de aprovar qualquer coisa. No entanto, a boa notícia é que esforços coordenados entre empresas como Amazon, Microsoft e Cloudflare forçaram o APT29 a sair; no entanto, já passou da hora de o grupo ressurgir com novos alvos.