Amazon stoppar APT29 i en nyligen genomförd cyberkampanj riktad mot Microsoft 365-användare. Den ryskstödda hackargruppen, även känd som Cozy Bear, försökte stjäla inloggningsuppgifter genom en vilseledande watering hole-attack. Amazons snabba agerande avbröt operationen innan den kunde spridas vidare.
Vem är APT29?
APT29 är en statligt stödd rysk hotaktör med ett rykte för avancerat spionage. Gruppen har tidigare kopplats till SolarWinds-attacken mot leveranskedjan och flera operationer för stöld av inloggningsuppgifter riktade mot regeringar och företag. De uppdaterar ständigt sina metoder och kombinerar teknisk expertis med social ingenjörskonst.
Hur attacken fungerade
APT29 komprometterade legitima webbplatser genom att injicera fördunklad JavaScript-kod i dem. APT29 omdirigerade ungefär tio procent av besökarna till angriparkontrollerade sidor som var maskerade som Cloudflare-verifieringar.
Dessa falska sidor använde övertygande domäner som findcloudflare[.]com och lurade användare att ange sina Microsoft 365-uppgifter. Genom att missbruka device code-autentisering kunde hackarna länka angriparkontrollerade enheter till offrens konton.
Amazons roll i att stoppa attacken
Amazon upptäckte kampanjen med hjälp av skräddarsydd hotanalys. När attacken identifierades stängde företaget ner de AWS EC2-servrar som användes för att hysa de skadliga sidorna. Amazon samarbetade också nära med Microsoft och Cloudflare för att blockera omdirigeringarna och montera ner angriparnas infrastruktur.
Även när APT29 försökte bygga upp attacken igen följde Amazon och dess partners deras försök, vilket höll attacken under kontroll och begränsade dess påverkan.
Varför detta är viktigt
Kampanjen visar hur även pålitliga webbplatser kan förvandlas till vapen. Den belyser också kreativiteten hos statsstödda hackare och svårigheten att upptäcka deras fällor. Amazons snabba agerande visar vikten av att dela underrättelser och samarbeta mellan stora teknikleverantörer.
För organisationer förstärker händelsen behovet av lagerbaserad säkerhet. Multifaktorautentisering, noggrann övervakning av inloggningsaktivitet och snabb upptäckt av hot är centrala försvar mot stöld av inloggningsuppgifter.
Slutsats
Amazon stoppar APT29 i en attack riktad mot Microsoft 365-användare. Genom att stänga ner den skadliga infrastrukturen och samarbeta med säkerhetspartners stoppade Amazon ett smygande spionageförsök. Fallet visar att snabb underrättelse och gemensamt försvar fortfarande är de starkaste verktygen mot avancerade statsstödda hackare.
0 svar till ”Amazon stoppar APT29:s watering hole-attack mot Microsoft 365”