Amazon afværger APT29 i en nylig cyberkampagne rettet mod Microsoft 365-brugere. Den russisk-støttede hackergruppe, også kendt som Cozy Bear, forsøgte at stjæle loginoplysninger gennem et vildledende watering hole-angreb. Amazons hurtige respons stoppede operationen, før den kunne sprede sig yderligere.
Hvem er APT29?
APT29 er en statsligt støttet russisk trusselaktør med ry for avanceret spionage. Gruppen er tidligere blevet knyttet til SolarWinds-angrebet på forsyningskæden og flere operationer med tyveri af loginoplysninger rettet mod regeringer og virksomheder. De opdaterer konstant deres metoder og kombinerer teknisk ekspertise med social engineering.
Sådan fungerede angrebet
APT29 kompromitterede legitime hjemmesider ved at injicere obfuskeret JavaScript-kode i dem. APT29 omdirigerede omkring ti procent af de besøgende til angriberkontrollerede sider, der var forklædt som Cloudflare-verificeringer.
Disse falske sider brugte overbevisende domæner som findcloudflare[.]com og narrede brugere til at indtaste deres Microsoft 365-legitimationsoplysninger. Ved at misbruge device code-godkendelse kunne hackerne knytte angriberkontrollerede enheder til ofrenes konti.
Amazons rolle i at stoppe angrebet
Amazon opdagede kampagnen ved hjælp af specialudviklet trusselsanalyse. Da angrebet blev identificeret, lukkede virksomheden de AWS EC2-servere, som hostede de skadelige sider. Amazon arbejdede også tæt sammen med Microsoft og Cloudflare for at blokere omdirigeringerne og nedbryde angribernes infrastruktur.
Selv da APT29 forsøgte at genopbygge angrebet, fulgte Amazon og dets partnere deres forsøg, hvilket holdt angrebet under kontrol og begrænsede virkningen.
Hvorfor dette er vigtigt
Kampagnen viser, hvordan selv betroede hjemmesider kan blive forvandlet til våben. Den fremhæver også statsstøttede hackeres kreativitet og vanskeligheden ved at opdage deres fælder. Amazons hurtige handling viser, hvor vigtig efterretningsdeling og samarbejde mellem store teknologileverandører er.
For organisationer understreger hændelsen behovet for lagdelt sikkerhed. Multifaktorgodkendelse, nøje overvågning af loginaktivitet og hurtig trusselsdetektion er centrale forsvar mod tyveri af loginoplysninger.
Konklusion
Amazon afværger APT29 i et angreb rettet mod Microsoft 365-brugere. Ved at lukke den skadelige infrastruktur og samarbejde med sikkerhedspartnere stoppede Amazon et skjult spionageforsøg. Sagen viser, at hurtig efterretning og kollektivt forsvar stadig er de stærkeste værktøjer mod avancerede statsstøttede hackere.
0 svar til “Amazon afværger APT29’s watering hole-angreb mod Microsoft 365”