亚马逊威胁情报团队成功挫败了一起试图利用微软认证流程发起的水坑攻击。该攻击活动被认定为与俄罗斯国家级黑客组织APT29有关。
在8月29日发布的帖子中,亚马逊首席信息安全官(CISO)CJ·摩西(CJ Moses)分享了该攻击活动的细节。其团队在发现由APT29控制的域名后,锁定了这起攻击。
水坑攻击是一种针对性网络攻击活动,黑客会入侵特定用户群体常访问的网站,并将用户重定向至恶意基础设施。其目的是投放恶意软件、窃取凭据或实施网络间谍活动。
在此次事件中,亚马逊发现多个合法网站被植入JavaScript代码,这些代码会将约10%的访客重定向至APT29控制的域名。攻击者的目标是诱骗用户通过微软的设备代码认证流程,授权由攻击者控制的设备。
受感染页面的图像,已删除域名。来源:亚马逊
这些域名(包括findcloudflare[.]com)模仿Cloudflare验证页面,以伪装成合法网站。
摩西写道:“亚马逊云服务(AWS)系统未受到入侵,也未观察到AWS服务或基础设施受到直接影响。”
代码分析显示,攻击者采用了多种规避检测的技术,包括随机重定向、Base64编码和持久化Cookie。此外,当防御系统拦截恶意基础设施时,威胁行为体会迅速转向新的域名和服务器,以维持攻击活动的持续性。
APT29攻击目标已超越政府人员
APT29是一个知名的网络威胁组织,拥有多个别名,包括“午夜暴风雪”(Midnight Blizzard)、“舒适熊”(Cozy Bear)、“诺贝尔奖”(Nobelium)和“公爵”(The Dukes)。该组织被美西方国家认为与俄罗斯对外情报局(SVR)有关联,至少自2013年以来一直活跃。
APT29以针对政府和关键行业实施间谍活动与情报收集著称,但近期观察显示其攻击目标范围正不断扩大。据报道,该组织参与了多起鱼叉式钓鱼活动,包括2025年4月针对欧洲外交官、以品酒会为主题的钓鱼攻击,以及2025年6月针对英国俄罗斯信息作战专家基尔·贾尔斯(Keir Giles)的攻击活动。
亚马逊威胁情报团队表示,此次新的水坑攻击“表明APT29在不断升级其攻击手段,扩大行动规模,以在情报收集工作中撒下更广泛的网”。
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容