Amazon Cuma günü, istihbarat toplama çabalarının bir parçası olarak Rusya bağlantılı APT29 aktörleri tarafından düzenlenen fırsatçı bir sulama deliği kampanyası olarak tanımladığını işaretlediğini ve bozduğunu söyledi.
Kampanyada “tehlikeye atılan web sitelerini ziyaretçileri, kullanıcıları Microsoft’un cihaz kodu kimlik doğrulama akışı aracılığıyla saldırgan kontrollü cihazlara yetkilendirmek için kandırmak için tasarlanmış kötü amaçlı altyapıya yönlendirmek için” kullandı.
Ayrıca Bluebravo, gizlenmiş ursa, cozylarch, rahat ayı, toprak koshchei, icecap, gece yarısı Blizzard ve Dukes olarak izlenen Apt29, Rusya’nın Yabancı İstihbarat Hizmeti (SVR) ile bağları olan devlet sponsorlu bir hackleme grubuna atanan isimdir.
Son aylarda, üretken tehdit oyuncusu, Ukraynalı varlıkları hedeflemek ve hassas verileri söndürmek için kötü niyetli uzaktan kumanda protokolü (RDP) yapılandırma dosyalarından yararlanan saldırılara bağlanmıştır.
Yılın başlangıcından bu yana, Microsoft 365 hesaplarına yetkisiz erişim elde etmek için Cihaz Kodu Kimlik Avı ve Cihaz Katılımı Kimlik Avı da dahil olmak üzere çeşitli kimlik avı yöntemlerinin benimsenmesi gözlemlenmiştir.
Haziran 2025 kadar yakın bir zamanda Google, mağdurların e-postalarına erişmek için uygulamaya özgü şifreler adlı bir Google hesap özelliğini silahlandıran APT29’a olan ilişkileri olan bir tehdit kümesi gözlemlediğini söyledi. Yüksek hedeflenen kampanya UNC6293’e bağlandı.
Amazon’un tehdit istihbarat ekibi tarafından belirlenen en son etkinlik, tehdit oyuncunun kimlik bilgilerini toplama ve ilgi zekasını toplama çabalarının altını çizerken, aynı zamanda tradecraft’larını keskinleştiriyor.
Moses, “Bu fırsatçı yaklaşım, APT29’un istihbarat toplama çabalarında daha geniş bir ağ oluşturacak şekilde operasyonlarını ölçeklendirmede devam eden evrimini göstermektedir.” Dedi.
Saldırılar APT29’u çeşitli meşru web sitelerini tehlikeye atmayı ve ziyaretçilerin yaklaşık% 10’unu FindCloudflare gibi aktör kontrollü alanlara yönlendiren JavaScript’i enjekte etti.[.]Com, bu, meşruiyet yanılsaması vermek için Cloudflare doğrulama sayfalarını taklit etti.
Gerçekte, kampanyanın nihai amacı, kurbanları tehdit oyuncusu tarafından üretilen meşru bir cihaz koduna girmeye ikna etmekti ve Microsoft hesaplarına ve verilerine etkili bir şekilde erişim sağladı. Bu teknik Şubat 2025’te hem Microsoft hem de Volexity tarafından detaylandırıldı.
Etkinlik, kötü amaçlı kodları gizlemek için Base64 kodlaması, aynı ziyaretçinin tekrarlanan yeniden yönlendirmelerini önlemek için çerezlerin ayarlanması ve engellendiğinde yeni altyapıya kayması gibi çeşitli kaçaklama tekniklerini dahil etmek için de dikkat çekicidir.
Moses, “Aktörün AWS’yi başka bir bulut sağlayıcısına taşıma da dahil olmak üzere yeni altyapıya göç etme girişimlerine rağmen, ekibimiz operasyonlarını izlemeye ve bozmaya devam etti.” Dedi. “Müdahalemizden sonra, Cloudflare.RediirectPartners gibi ek alanlar kaydeddiklerini gözlemledik.[.]Com, kurbanları Microsoft Cihaz Kodu kimlik doğrulama iş akışlarına çekmeye çalıştı. “