Onderzoekers hebben een operatie van de Russische, door de staat gesponsorde, dreigingsgroep Midnight Blizzard verstoord. Deze groep probeerde toegang te krijgen tot Microsoft 365-accounts en gegevens.

Ook wel bekend als APT29, gebruikte de hackersgroep een waterputcampagne om doelwitten naar hun kwaadaardige infrastructuur te leiden. Dit was bedoeld om gebruikers te misleiden zodat ze aanvallers toestemming gaven via Microsoft’s apparaatcode-authenticatiestroom.

Midnight Blizzard wordt gelinkt aan de Russische Buitenlandse Inlichtingendienst (SVR) en staat bekend om zijn geraffineerde phishingmethoden die recente aanvallen op Europese ambassades, Hewlett Packard Enterprise en TeamViewer omvatten.

Willekeurige Doelselectie

Het dreigingsintelligenteam van Amazon ontdekte de domeinnamen die in deze campagne werden gebruikt, nadat ze een analyse van APT29’s infrastructuur hadden gemaakt. Ze ontdekten dat hackers meerdere legitieme websites hadden gekraakt en kwaadaardige code met base64 versleutelden.

Via randomisatie leidde APT29 ongeveer 10% van de bezoekers van deze gecompromitteerde websites naar domeinen die Cloudflare-verificatiepagina’s nabootsten, zoals findcloudflare[.]com of cloudflare[.]redirectpartners[.]com.

Amazon legde in hun rapport uit dat de daders een cookiesysteem gebruikten om te voorkomen dat dezelfde gebruiker meerdere keren werd doorgestuurd, om zo minder argwaan te wekken.

Slachtoffers die op de nep Cloudflare-pagina’s terechtkwamen, werden geleid naar een schadelijke Microsoft apparaatcode-authenticatiestroom, met als doel hen te misleiden om aanvallers toestemmingen te geven.

Amazon geeft aan dat, nadat de campagne werd ontdekt, hun onderzoekers de EC2-instanties isoleerden die door de dreigers werden gebruikt, samenwerkend met Cloudflare en Microsoft om de domeinen te verstoren.

Ze zagen dat APT29 probeerde hun infrastructuur naar een andere cloudprovider te verplaatsen en nieuwe domeinnamen registreerde.

CJ Moses, Chief Information Security Officer van Amazon, vermeldde dat de onderzoekers de beweging van de dreigers bleven volgen en hun inspanningen verstoorden.

Amazon benadrukt dat deze jongste campagne een evolutie weerspiegelt in de methoden van APT29 met het doel om inloggegevens en inlichtingen te verzamelen. Hun technische aanpak is verfijnder; ze vertrouwen niet langer op domeinen die AWS imiteren of sociale manipulaties om multi-factor-authenticatie (MFA) te omzeilen.

Gebruikers wordt aangeraden om apparaatautorisatieverzoeken te verifiëren, MFA in te schakelen, en commando’s op hun systeem vanaf webpagina’s niet zomaar uit te voeren.

Beheerders zouden onnodige apparaatautorisatie indien mogelijk uit moeten schakelen, conditionele toegangsbeleid moeten afdwingen en verdachte authenticatiegebeurtenissen nauwlettend moeten monitoren.

Amazon benadrukte dat deze APT29-campagne hun infrastructuur niet in gevaar heeft gebracht of hun diensten heeft beïnvloed.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.