Amazon, kötü niyetli yönlendirmelerle Microsoft kimlik doğrulamasını hedeflemek için tehlikeye atılan siteleri kullanan bir Rus APT29 sulama deliği kampanyasını bozdu.
Amazon’un güvenlik ekibi, Rusya’nın Dış İstihbarat Servisi’ne (SVR) bağlı bir tehdit grubu olan gece yarısı Blizzard olarak da izlenen APT29 tarafından yeni bir kampanyayı belirledi ve bozdu. Bu kez, grup, şüphesiz ziyaretçileri saldırgan kontrollü altyapıya yönlendirmek için meşru web sitelerine kötü amaçlı kod dikerek bir sulama deliği kampanyası oluşturmuştu.
Oradan, saldırganlar insanları, hassas hesaplara erişim sağlayabilecek bir teknik olan Microsoft’un cihaz kodu kimlik doğrulama sistemi aracılığıyla yetkisiz cihazları onaylamaya çalıştı.
Bilgileriniz için, “su deliği” veya sulama deliği, kötü niyetli aktörlerin belirli bir hedef grup tarafından sıkça ziyaret edilen bir web sitesini veya çevrimiçi platformu tehlikeye attığı ve bilgisayarlarını ziyaret ettiklerinde kötü amaçlı yazılımlarla enfekte etmek isteyen bir siber saldırı türüdür.
Geçmişte APT29’un sahte AWS alan adları veya akademisyenleri ve Rusya eleştirmenlerini hedefleyen uygulamaya özgü şifre saldırıları gibi kimlik avı kampanyalarına dayandığını belirtmek gerekir. Şimdi ziyaretçileri kötü amaçlı sitelere yönlendirmek için güvenliği ihlal edilmiş siteler kullanıyorlar.
Amazon’un şirketin baş bilgi güvenlik görevlisi CJ Moses tarafından yetkilendirilen blog yayınına göre, ziyaretçilerin sadece% 10’unun yeniden yönlendirildiğini ve bu da saldırganların kurbanlara ulaşırken kolay tespit edilmesini önlemesine izin verdiğini tespit etti.
Teknik tarafı
Bu kampanyanın teknik detayları, operasyonunu genişletmeyi amaçlayan teknikleri ortaya çıkardı. Kötü amaçlı JavaScript gizlendi ve Base64 kodlandı, aynı ziyaretçi için birden fazla yönlendirmeyi önlemek için çerezler kullanıldı ve alanlar engellendiğinde, saldırganlar hızla yeni altyapıya geçti. Sahte sayfalardan bazıları Cloudflare doğrulama ekranlarını taklit ederek sıradan ziyaretçileri kandırmak için yeterince ikna edici görünmelerini sağladı.
Amazon etkinliği tespit ettikten sonra, etkilenen EC2 örneklerini izole ettiler, alanları kesmek için Cloudflare ve diğer sağlayıcılarla birlikte çalıştılar ve istihbarat boyunca Microsoft’a geçtiler.
APT29 başka bir bulut sağlayıcısına taşındığında ve cloudflareredirectpartnerscomAmazon kampanyanın erişimini sınırlamak için faaliyetlerini izlemeye ve bozmaya devam etti.
Göze çarpmak
Hükümet tarafından desteklenen bilgisayar korsanlarının kaynakları var; Ayrıca yeni fikirlerle doludurlar ve bu kampanya böyle bir örnektir. Bu nedenle, kullanıcılar, özellikle bir site yeni bir cihaz yetkilendirmenizi veya komutları Windows’a kopyalamanızı istiyorsa, beklenmedik istemlere dikkatli olmaları gerekir.
Çok faktörlü kimlik doğrulama en iyi siber güvenlik araçlarından biri olmaya devam ederken, Microsoft’un cihaz kodu sistemi, herhangi bir şeyi onaylamadan önce her zaman iki kez kontrol edilmelidir. Bununla birlikte, iyi haber şu ki, Amazon, Microsoft ve Cloudflare gibi şirketler arasındaki koordineli çabaların APT29’u bırakmaya zorladığı; Ancak, grubun yeni hedeflerle yeniden ortaya çıkmasının zamanı geldi.