Amazon, Microsoft Kimlik Doğrulamasını Hedef Alan Rus APT29 Sulama Deliğini Bozuyor

Amazon, Microsoft kimlik doğrulamasını kötü amaçlı yönlendirmelerle hedef alan, güvenliği ihlal edilmiş siteler kullanan bir Rus APT29 sulama deliği kampanyasını bozdu.

Amazon'un güvenlik ekibi, Rusya Dış İstihbarat Servisi (SVR) ile bağlantılı bir tehdit grubu olan ve Midnight Blizzard olarak da bilinen APT29 tarafından yürütülen yeni bir saldırıyı tespit edip engelledi. Bu sefer grup, meşru web sitelerine kötü amaçlı kod yerleştirerek, şüphelenmeyen ziyaretçileri saldırganların kontrolündeki altyapıya yönlendiren bir su kaynağı saldırısı başlatmıştı.

Saldırganlar, Microsoft'un cihaz kodu kimlik doğrulama sistemi aracılığıyla insanları kandırarak yetkisiz cihazları onaylamaya çalıştılar; bu teknik onlara hassas hesaplara erişim sağlayabilirdi.

Bilginize, "Waterholing" veya sulama deliği, kötü niyetli kişilerin belirli bir hedef grup tarafından sıklıkla ziyaret edilen bir web sitesini veya çevrimiçi platformu ele geçirerek, ziyaret ettiklerinde bilgisayarlarına kötü amaçlı yazılım bulaştırmayı amaçladığı bir siber saldırı türüdür.

APT29'un geçmişte sahte AWS alan adları veya uygulamaya özel parola saldırıları gibi kimlik avı kampanyalarına güvendiğini, akademisyenleri ve Rusya'yı eleştirenleri hedef aldığını belirtmekte fayda var. Şimdi ise, ziyaretçileri kötü amaçlı sitelere yönlendirmek için güvenliği ihlal edilmiş siteleri kullanıyorlar.

Amazon'un Bilgi Güvenliği Sorumlusu CJ Moses tarafından yetkilendirilen blog yazısına göre, ziyaretçilerin yalnızca yaklaşık %10'unun yönlendirildiği, bu sayede saldırganların kurbanlara ulaşırken kolayca tespit edilmekten kaçınabildiği belirtiliyor.

Bu kampanyanın teknik detayları, operasyonunu genişletmeyi amaçlayan teknikleri ortaya çıkardı. Kötü amaçlı JavaScript gizlendi ve base64 ile kodlandı, aynı ziyaretçi için birden fazla yönlendirmeyi engellemek için çerezler kullanıldı ve alan adları engellendiğinde saldırganlar hızla yeni bir altyapıya geçti. Sahte sayfaların bazıları, Cloudflare doğrulama ekranlarını taklit ederek , sıradan ziyaretçileri kandıracak kadar ikna edici göründüler.

Amazon, etkinliği tespit ettikten sonra etkilenen EC2 örneklerini izole etti, etki alanlarını kapatmak için Cloudflare ve diğer sağlayıcılarla çalıştı ve istihbaratı Microsoft'a iletti.

APT29 başka bir bulut sağlayıcısına geçip cloudflareredirectpartnerscom gibi yeni alan adları kaydettirdiğinde bile Amazon, kampanyanın erişimini sınırlamak için faaliyetlerini izlemeye ve engellemeye devam etti.

Devlet destekli bilgisayar korsanlarının kaynakları var; aynı zamanda yeni fikirlerle de dolular ve bu kampanya da bunlardan sadece biri. Bu nedenle, kullanıcılar beklenmedik uyarılara, özellikle de bir site sizden yeni bir cihaz yetkilendirmenizi veya komutları Windows'a kopyalamanızı istiyorsa, dikkatli olmalıdır.

Çok faktörlü kimlik doğrulama en iyi siber güvenlik araçlarından biri olmaya devam etse de, Microsoft'un cihaz kod sistemi herhangi bir şeyi onaylamadan önce her zaman iki kez kontrol edilmelidir. Yine de iyi haber şu ki, Amazon, Microsoft ve Cloudflare gibi şirketler arasındaki koordineli çalışmalar APT29'u istifaya zorladı; ancak grubun yeni hedeflerle yeniden ortaya çıkmasının zamanı geldi.