Amazon威脅情報團隊日前成功阻止一起由俄羅斯國家級駭客組織APT29發動的水坑攻擊,該攻擊企圖透過濫用微軟裝置代碼認證流程來竊取Microsoft 365帳戶存取權限。水坑攻擊是一種針對性的網路攻擊手法,攻擊者會入侵特定目標群體經常造訪的合法網站,並在這些網站中植入惡意程式碼,等待目標受害者「上鉤」。
這起攻擊活動由又稱為Midnight Blizzard 的APT29組織策劃,該組織與俄羅斯對外情報局(SVR)有關聯。攻擊者入侵多個合法網站,植入惡意JavaScript代碼,將約10%的訪客隨機重新導向至攻擊者控制的惡意基礎設施。
Amazon資安長CJ Moses表示:「此次攻擊活動利用遭入侵的網站將訪客重新導向至惡意基礎設施,目的是欺騙使用者透過微軟的裝置代碼認證流程授權攻擊者控制的裝置。」
偽造Cloudflare驗證頁面
攻擊者建立了多個模仿Cloudflare驗證頁面的惡意網域,如findcloudflare[.]com和cloudflare[.]redirectpartners[.]com,藉此增加攻擊的可信度。受害者一旦登陸這些偽造頁面,就會被引導至惡意的微軟裝置代碼認證流程。
攻擊者的最終目標是誘使受害者將攻擊者產生的合法裝置代碼輸入登入頁面,進而獲得對受害者Microsoft帳戶和資料的存取權限。這種技術手法在2025年2月時曾被微軟和Volexity詳細記錄。
先進的規避技術
此次攻擊展現了APT29組織的技術演進,採用了多種規避偵測的技術:
- Base64編碼隱藏:使用base64編碼來隱藏惡意代碼,降低被偵測的可能性
- Cookie防重複機制:透過Cookie系統防止同一使用者被多次重新導向,減少引起懷疑的機會
- 基礎設施快速轉移:當防禦系統阻擋惡意基礎設施時,威脅行為者迅速轉移至新的網域和伺服器
- 隨機重新導向:僅對約10%的網站訪客進行重新導向,隨機方式降低被發現的風險
相關文章:「午夜暴雪」發動大規模網攻,微軟:受害者遍及全球
Amazon的應對行動
Amazon威脅情報團隊在發現APT29使用的網域名稱後,立即展開調查並採取干預行動。調查顯示,駭客已入侵多個合法網站並使用base64編碼來混淆惡意代碼。
Moses指出:「儘管攻擊者嘗試轉移至新的基礎設施,包括從AWS轉移至其他雲端服務供應商,我們的團隊仍持續追蹤並干擾其行動。在我們介入後,觀察到攻擊者註冊了額外的網域,如cloudflare.redirectpartners[.]com,再次企圖誘使受害者進入微軟裝置代碼認證工作流程。」
Amazon強調,此次APT29攻擊活動並未入侵其基礎設施或影響其服務。Amazon與Cloudflare和微軟合作,成功阻擋已識別的惡意網域。
APT29組織背景與近期活動
APT29又被稱為BlueBravo、Cloaked Ursa、CozyLarch、Cozy Bear、Earth Koshchei、ICECAP、Midnight Blizzard和The Dukes,是一個與俄羅斯對外情報局有關聯的國家級駭客組織,自2013年以來一直活躍於網路空間。
該組織以其精密的釣魚手法聞名,近期曾影響歐洲大使館、惠普企業(Hewlett Packard Enterprise)和TeamViewer等目標。自今年年初以來,APT29被觀察到採用各種釣魚方法,包括裝置代碼釣魚和裝置加入釣魚,以獲得對Microsoft 365帳戶的未授權存取。
相關文章: 「午夜暴雪」打造34個惡意RDP伺服器 各國政府機構遭大規模網路間諜攻擊
APT29原本主要針對政府機構和關鍵產業進行間諜活動和情報蒐集,但近期正在擴大其目標範圍。今年4月,APT29發動了以品酒為主題的釣魚攻擊,鎖定歐洲外交官;6月則針對英國俄羅斯資訊作戰專家Keir Giles發動攻擊活動。
防護建議
面對此類攻擊,資安專家建議使用者應仔細驗證任何裝置授權請求的真實性,並務必啟用多重要素驗證(MFA)以增強帳戶安全性。此外,使用者應避免執行從網頁上複製而來的指令,以防止意外授權惡意裝置。
在組織管理層面,系統管理員應評估並考慮停用不必要的裝置授權功能,同時強制實施條件式存取政策來限制潛在的未授權存取。更重要的是,管理員需要建立完善的監控機制,密切留意任何可疑的身份驗證事件,以便及早發現並回應潛在的安全威脅。