Amazon je u petak saopštio da je otkrio i prekinuo ono što opisuje kao oportunističku watering hole kampanju koju je sprovela hakerska grupa APT29, povezana sa Rusijom, u sklopu svojih obavještajnih aktivnosti.
Kampanja je koristila kompromitovane sajtove za preusmjeravanje posjetilaca ka malicioznoj infrastrukturi osmišljenoj da navede korisnike da odobre uređaje pod kontrolom hakera kroz Microsoftov device code autentifikacioni mehanizam, saopštio je glavni direktor za sajber bezbjednost u Amazonu, CJ Moses.
APT29, poznat i pod imenima BlueBravo, Cloaked Ursa, CozyLarch, Cozy Bear, Earth Koshchei, ICECAP, Midnight Blizzard i The Dukes, predstavlja državno sponzorisanu grupu hakera sa vezama za rusku Spoljnu obavještajnu službu (SVR).
Kampanja i taktike
U posljednjim mjesecima ova hakerska grupa povezuje se sa napadima koji koriste maliciozne RDP konfiguracione fajlove kako bi ciljali ukrajinske entitete i izvlačili osjetljive podatke.
Od početka godine, zabilježeno je više različitih fišing metoda koje koristi APT29, uključujući device code phishing i device join phishing, s ciljem da dobiju neovlašćeni pristup Microsoft 365 nalozima.
Još u junu 2025. godine, Google je otkrio da je klaster povezan sa APT29 zloupotrebljavao funkciju Google naloga pod nazivom application-specific passwords kako bi pristupio mejlovima žrtava. Visoko ciljana kampanja tada je pripisana grupi UNC6293.
Najnovije aktivnosti koje je detektovao Amazonov tim za prijetnje potvrđuju nastavak nastojanja ove grupe da prikuplja akreditive i obavještajne podatke, istovremeno usavršavajući sopstvene metode rada.
“Ovakav oportunistički pristup pokazuje kontinuiranu evoluciju APT29 u širenju svojih operacija i nastojanju da obuhvate što širi spektar ciljeva”, rekao je Moses.
Tehnike i infrastruktura
Napadi su uključivali kompromitovanje legitimnih sajtova i ubacivanje JavaScript koda koji je otprilike 10% posjetilaca preusmjeravao ka domenima pod kontrolom hakera, poput findcloudflare[.]com, koji su imitirali Cloudflare verifikacione stranice da bi izgledali legitimno.
Cilj je bio da se žrtve navedu da unesu legitiman device code koji su prethodno generisali hakeri, čime bi im dali pristup svojim Microsoft nalozima i podacima. Ova tehnika je već bila dokumentovana od strane Microsofta i Volexity-ja u februaru 2025. godine.
Aktivnost je posebno značajna jer uključuje različite tehnike izbjegavanja detekcije, kao što su Base64 enkodiranje radi prikrivanja malicioznog koda, postavljanje kolačića da se spriječi višestruko preusmjeravanje istog posjetioca, kao i brzu migraciju na novu infrastrukturu kada prethodna bude blokirana.
Amazon nije otkrio koliko je tačno sajtova kompromitovano niti na koji način su hakovani. Međutim, kompanija je navela da je uspjela povezati domene iz ove kampanje sa infrastrukturom koja je ranije pripisana APT29.
“Uprkos pokušajima grupe da migrira na novu infrastrukturu, uključujući i prelazak sa AWS-a na drugog cloud provajdera, naš tim je nastavio da prati i ometa njihove operacije”, rekao je Moses. “Nakon naše intervencije, primijetili smo da su registrovali dodatne domene poput cloudflare.redirectpartners[.]com, koji su ponovo pokušavali da prevare žrtve kroz Microsoft device code autentifikaciju.”
Izvor: The Hacker News
