Amazon vereitelt APT29 in einer jüngsten Cyberkampagne, die auf Microsoft 365-Nutzer abzielte. Die russisch unterstützte Hackergruppe, auch bekannt als Cozy Bear, versuchte, Anmeldedaten durch einen täuschenden Watering-Hole-Angriff zu stehlen. Amazons schnelle Reaktion stoppte die Operation, bevor sie sich weiter ausbreiten konnte.
Wer ist APT29?
APT29 ist ein staatlich unterstützter russischer Bedrohungsakteur mit einem Ruf für fortschrittliche Spionage. Die Gruppe wurde zuvor mit dem SolarWinds-Lieferkettenangriff und mehreren Operationen zum Diebstahl von Anmeldedaten in Verbindung gebracht, die sich gegen Regierungen und Unternehmen richteten. Sie aktualisieren ständig ihre Methoden und kombinieren technische Expertise mit Social Engineering.
Wie der Angriff funktionierte
APT29 kompromittierte legitime Webseiten, indem sie verschleierten JavaScript-Code einschleusten. APT29 leitete etwa zehn Prozent der Besucher auf von Angreifern kontrollierte Seiten um, die als Cloudflare-Verifizierungsseiten getarnt waren.
Diese gefälschten Seiten nutzten überzeugende Domains wie findcloudflare[.]com und verleiteten Benutzer dazu, ihre Microsoft-365-Zugangsdaten einzugeben. Durch den Missbrauch der Device-Code-Authentifizierung konnten die Hacker von ihnen kontrollierte Geräte mit den Konten der Opfer verknüpfen.
Amazons Rolle bei der Abwehr des Angriffs
Amazon entdeckte die Kampagne mithilfe maßgeschneiderter Bedrohungsanalysen. Nachdem der Angriff identifiziert worden war, schaltete das Unternehmen die AWS-EC2-Server ab, die die schädlichen Seiten hosteten. Amazon arbeitete außerdem eng mit Microsoft und Cloudflare zusammen, um die Umleitungen zu blockieren und die Infrastruktur der Angreifer zu demontieren.
Selbst als APT29 versuchte, die Kampagne wieder aufzubauen, verfolgten Amazon und seine Partner ihre Bemühungen, was den Angriff eindämmte und die Auswirkungen begrenzte.
Warum das wichtig ist
Die Kampagne zeigt, wie selbst vertrauenswürdige Webseiten als Waffen genutzt werden können. Sie verdeutlicht außerdem die Kreativität staatlich unterstützter Hacker und die Schwierigkeit, ihre Fallen zu erkennen. Amazons schnelles Handeln unterstreicht die Bedeutung von Informationsaustausch und Zusammenarbeit zwischen großen Technologieanbietern.
Für Organisationen verdeutlicht der Vorfall die Notwendigkeit einer mehrschichtigen Sicherheit. Mehrfaktor-Authentifizierung, sorgfältige Überwachung von Anmeldeaktivitäten und schnelle Bedrohungserkennung sind entscheidende Abwehrmaßnahmen gegen den Diebstahl von Anmeldedaten.
Fazit
Amazon vereitelt APT29 in einem Angriff auf Microsoft-365-Nutzer. Durch die Abschaltung der schädlichen Infrastruktur und die Zusammenarbeit mit Sicherheitspartnern stoppte Amazon einen verdeckten Spionageversuch. Der Fall zeigt, dass schnelle Aufklärung und kollektive Verteidigung weiterhin die stärksten Werkzeuge gegen fortgeschrittene staatlich unterstützte Hacker sind.
0 Kommentare zu „Amazon vereitelt APT29-Watering-Hole-Angriff auf Microsoft 365“