Para peneliti telah menggagalkan operasi yang dikaitkan dengan kelompok ancaman yang disponsori negara Rusia, Midnight Blizzard, yang berupaya mengakses akun dan data Microsoft 365.
Juga dikenal sebagai APT29, kelompok peretas ini meretas situs web dalam kampanye watering hole (lubang air) untuk mengarahkan target terpilih "ke infrastruktur berbahaya yang dirancang untuk mengelabui pengguna agar mengotorisasi perangkat yang dikendalikan penyerang melalui alur autentikasi kode perangkat Microsoft."
Aktor ancaman Midnight Blizzard telah dikaitkan dengan Badan Intelijen Luar Negeri (SVR) Rusia dan terkenal dengan metode phishing cerdasnya yang baru-baru ini mempengaruhi kedutaan besar Eropa, Hewlett Packard Enterprise, dan TeamViewer.
Pemilihan target acak
Tim intelijen ancaman Amazon menemukan nama domain yang digunakan dalam kampanye watering hole setelah membuat analitik untuk infrastruktur APT29.
Investigasi mengungkapkan bahwa para peretas telah menyusupi beberapa situs web yang sah dan mengaburkan kode berbahaya menggunakan pengkodean base64.
Dengan menggunakan pengacakan, APT29 mengalihkan sekitar 10% pengunjung situs web yang disusupi ke domain yang meniru halaman verifikasi Cloudflare, seperti findcloudflare[.]com atau cloudflare[.]redirectpartners[.]com.
Sebagaimana dijelaskan Amazon dalam laporan tentang tindakan terbaru tersebut, para pelaku ancaman menggunakan sistem berbasis cookie untuk mencegah pengguna yang sama dialihkan beberapa kali, sehingga mengurangi kecurigaan.
Korban yang membuka halaman Cloudflare palsu diarahkan ke alur autentikasi kode perangkat Microsoft yang berbahaya, dalam upaya untuk mengelabui mereka agar mengotorisasi perangkat yang dikendalikan penyerang.
Amazon mencatat bahwa setelah kampanye tersebut ditemukan, para penelitinya mengisolasi instans EC2 yang digunakan pelaku ancaman, dan bermitra dengan Cloudflare dan Microsoft untuk mengganggu domain yang teridentifikasi.
Para peneliti mengamati bahwa APT29 mencoba memindahkan infrastrukturnya ke penyedia cloud lain dan mendaftarkan nama domain baru (misalnya cloudflare[.]redirectpartners[.]com).
CJ Moses, Chief Information Security Officer Amazon, mengatakan bahwa para peneliti terus melacak pergerakan pelaku ancaman dan mengganggu upaya tersebut.
Amazon menggarisbawahi bahwa kampanye terbaru ini mencerminkan evolusi APT29 untuk tujuan yang sama yaitu mengumpulkan kredensial dan intelijen.
Namun, terdapat "penyempurnaan pada pendekatan teknis mereka," yang tidak lagi bergantung pada domain yang meniru AWS atau upaya rekayasa sosial untuk melewati autentikasi multifaktor (MFA) dengan mengelabui target agar membuat kata sandi khusus aplikasi.
Pengguna disarankan untuk memverifikasi permintaan otorisasi perangkat, mengaktifkan otentikasi multi-faktor (MFA), dan menghindari menjalankan perintah pada sistem mereka yang disalin dari halaman web.
Administrator harus mempertimbangkan untuk menonaktifkan kelemahan otorisasi perangkat yang tidak perlu jika memungkinkan, menerapkan kebijakan akses bersyarat, dan memantau dengan cermat kejadian autentikasi yang mencurigakan.
Amazon menekankan bahwa kampanye APT29 ini tidak membahayakan infrastrukturnya atau berdampak pada layanannya.
0 Comments
