Amazon’un siber güvenlik ekibi, Rusya’nın Dış İstihbarat Servisi ile bağlantılı kötü şöhretli bir hack grubu olan APT29 tarafından düzenlenen sofistike bir sulama deliği kampanyasını başarıyla bozdu.
Ağustos 2025 operasyonu, teknoloji devleri ve küresel ağlara sızmak ve hassas hassas kimlik bilgilerini hasat etmek isteyen devlet destekli tehdit aktörleri arasındaki devam eden bir siber savaş savaşındaki son bölümü temsil ediyor.
APT29’un Vardiyası: Alanlar Web Sitesi Hacks’e
Midnight Blizzard olarak da bilinen Rus siber birimi, 2024 ve 2025 boyunca saldırı metodolojilerinde dikkate değer bir uyum gösterdi.
Bu son kampanya, grubun siber güvenlik savunucularının baskısı altında gelişme yeteneğini sergileyen önceki operasyonlardan önemli bir taktiksel kaymaya işaret ediyor.
Kötü niyetli uzaktan masaüstü protokol dosyalarını dağıtmak için AWS alan taklitine dayanan Ekim 2024 kampanyalarının aksine, APT29’un en yeni yaklaşımı meşru web sitelerini tehlikeye atmayı ve gizlenmiş JavaScript kodunu enjekte etmeyi içeriyordu.
Saldırganlar, algılamayı önlemek için web sitesi ziyaretçilerinin sadece% 10’unu stratejik olarak yeniden yönlendirdi ve maruz kalmayı en aza indirirken etkiyi en üst düzeye çıkarmak için hesaplanmış bir yaklaşım gösterdi.
Temel taktik iyileştirmeler şunları içerir:
- Ziyaretçilerin sadece küçük bir yüzdesini yeniden yönlendirmek için randomizasyon tekniklerini kullanmak.
- Base64 kodlamasının kullanılması Kötü niyetli kodu algılama sistemlerinden gizlemek için.
- Aynı ziyaretçinin tekrarlanan yönlendirmelerini önlemek için çerezlerin ayarlanması.
- Mevcut alanlar engellendiğinde yeni altyapıya hızla döner.
Grubun teknik karmaşıklığı, birden fazla kaçaklama tekniğini kullanımında belirgindi ve potansiyel kurbanlar için daha geniş bir ağ oluştururken operasyonel güvenliği sürdürmelerine izin verdi.
Microsoft Auth Flow Hedefli
Kampanyanın nihai hedefi, kullanıcıların hesap erişimi için yeni cihazlara yetki vermelerini sağlayan meşru bir özellik olan Microsoft’un cihaz kodu kimlik doğrulama sisteminden yararlanmaya odaklandı.
Apt29, FindCloudflare gibi alanlarda ikna edici sahte bulutflare doğrulama sayfaları yarattı[.]Com, kullanıcıları Microsoft’un kimlik doğrulama iş akışı aracılığıyla saldırgan kontrollü cihazları yetkilendirmeye kandırmak için tasarlanmıştır.
Amazon’un tehdit istihbarat ekibi, APT29 altyapı kalıplarını tespit etmek için tasarlanmış özel analizlerle operasyonu keşfetti.
Soruşturma, Rus operatörlerinin çeşitli meşru web sitelerini başarıyla tehlikeye attığını ve onları istihbarat toplama kampanyalarında farkında olmayan silahlara dönüştürdüklerini ortaya koydu.
Amazon, operasyon sırasında hiçbir AWS sisteminin tehlikeye atılmadığını ve AWS hizmetleri veya altyapı üzerinde doğrudan bir etki olmadığını doğruladı.
Amazon ve ortakları ilk altyapıyı bozmak için harekete geçtiklerinde, APT29 işlemleri alternatif bulut sağlayıcılarına hızlı bir şekilde uyarlandı ve Cloudflare gibi yeni alanlar kaydetti[.]yeniden yöneticiler[.]com.
Bu kedi ve fare oyunu, devlet destekli siber operasyonların kalıcı doğasını ve siber güvenlik savunucularından sürekli uyanıklık ihtiyacını vurguladı.
İşbirliği siber savunmayı artırıyor
Amazon’un yanıtı, sofistike siber tehditlerle mücadelede kamu-özel ortaklıklarının kritik önemini göstermektedir.
Kampanyayı keşfettikten sonra Amazon, tehlikeye atılan sistemleri izole etmek ve tehdit istihbaratını paylaşmak için Cloudflare ve Microsoft da dahil olmak üzere birden fazla endüstri ortağıyla hemen koordine edildi.
Şirket ayrıca saldırganların alanlarını bozmak için çalıştı ve diğer kuruluşların kullanıcılarını korumalarına yardımcı olmak için önemli bilgiler verdi.
Güvenlik uzmanları, kuruluşların zorunlu çok faktörlü kimlik doğrulama, cihaz yetkilendirme taleplerinin dikkatli bir şekilde doğrulanması ve kimlik doğrulama olaylarının izlenmesi de dahil olmak üzere güçlü koruyucu önlemler uygulamalarını önermektedir.
BT yöneticilerine Microsoft’un cihaz kimlik doğrulama kılavuzunu gözden geçirmeleri ve iş operasyonları için gereksiz yere özelliği devre dışı bırakmayı düşünmeleri önerilir.
Bu kampanyanın başarılı bir şekilde bozulması, siber savaş taktiklerinin devam eden evriminin ve siber güvenlik profesyonelleri tarafından sürekli uyarlanma ihtiyacının altını çizmektedir.
APT29 yöntemlerini geliştirmeye devam ettikçe, siber güvenlik topluluğu bu kalıcı rakiplerin önünde kalmak için işbirlikçi istihbarat paylaşımı ve proaktif tehdit avını sürdürmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!