Amazon avverger APT29 i en nylig cyberkampanje rettet mot Microsoft 365-brukere. Den russisk-støttede hackergruppen, også kjent som Cozy Bear, forsøkte å stjele påloggingsdetaljer gjennom et villedende watering hole-angrep. Amazons raske respons stoppet operasjonen før den kunne spre seg videre.
Hvem er APT29?
APT29 er en statlig støttet russisk trusselaktør med rykte for avansert spionasje. Gruppen har tidligere blitt koblet til SolarWinds-angrepet mot forsyningskjeden og flere operasjoner for tyveri av påloggingsinformasjon rettet mot regjeringer og bedrifter. De oppdaterer stadig sine metoder og kombinerer teknisk ekspertise med sosial manipulering.
Hvordan angrepet fungerte
APT29 kompromitterte legitime nettsteder ved å injisere obfuskert JavaScript-kode i dem. APT29 omdirigerte omtrent ti prosent av besøkende til angriperkontrollerte sider som var forkledd som Cloudflare-verifiseringer.
Disse falske sidene brukte overbevisende domener som findcloudflare[.]com og lurte brukere til å oppgi sine Microsoft 365-opplysninger. Ved å misbruke device code-autentisering kunne hackerne knytte angriperkontrollerte enheter til offerkontoene.
Amazons rolle i å stoppe angrepet
Amazon oppdaget kampanjen ved hjelp av spesialutviklet trusselanalyse. Da angrepet ble identifisert, stengte selskapet ned AWS EC2-serverne som hostet de skadelige sidene. Amazon samarbeidet også tett med Microsoft og Cloudflare for å blokkere omdirigeringene og demontere angripernes infrastruktur.
Selv når APT29 forsøkte å bygge opp igjen angrepet, fulgte Amazon og dets partnere deres forsøk, noe som holdt angrepet under kontroll og begrenset skadeomfanget.
Hvorfor dette er viktig
Kampanjen viser hvordan selv pålitelige nettsteder kan bli forvandlet til våpen. Den fremhever også kreativiteten til statsstøttede hackere og vanskeligheten med å oppdage deres feller. Amazons raske handling viser hvor viktig informasjonsdeling og samarbeid mellom store teknologileverandører er.
For organisasjoner understreker hendelsen behovet for lagdelt sikkerhet. Multifaktorautentisering, nøye overvåking av påloggingsaktivitet og rask trusseldeteksjon er nøkkelforsvar mot tyveri av påloggingsinformasjon.
Konklusjon
Amazon avverger APT29 i et angrep rettet mot Microsoft 365-brukere. Ved å stenge ned den skadelige infrastrukturen og samarbeide med sikkerhetspartnere stoppet Amazon et skjult spionasjeforsøk. Saken viser at rask etterretning og kollektivt forsvar fortsatt er de sterkeste verktøyene mot avanserte statsstøttede hackere.
0 svar til “Amazon avverger APT29s watering hole-angrep på Microsoft 365”