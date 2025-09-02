Як саме хакери намагалися обдурити користувачів?

Спеціалістам з кібербезпеки компанії Amazon вдалося зірвати операцію, за якою стоїть відоме російське державне угруповання Midnight Blizzard, також відоме як APT29. Зловмисники, яких пов'язують зі Службою зовнішньої розвідки Росії, відомі своїми продуманими фішинговими атаками, від яких раніше постраждали європейські посольства, Hewlett Packard Enterprise та TeamViewer. Цього разу метою хакерів було отримання доступу до облікових записів Microsoft 365 та конфіденційних даних їхніх власників, пише 24 Канал з посиланням на Bleeping Computer.

Дивіться також Проросійські хакери атакували водосховище у Норвегії

Щоб досягти своєї мети, хакери зламали низку легітимних сайтів і розмістили на них прихований шкідливий код, замаскувавши його за допомогою кодування Base64. Цей код спрацьовував не для всіх, а лише для приблизно 10% відвідувачів. Їх випадковим чином перенаправляли на шахрайські домени, які імітували сторінки перевірки безпеки сервісу Cloudflare. Щоб не викликати підозр, зловмисники використовували систему на основі файлів cookie, яка не дозволяла повторно перенаправляти одного й того ж користувача.

Тих, хто все ж потрапляв на підроблену сторінку, далі спрямовували на шкідливий процес автентифікації пристрою Microsoft. Кінцевою метою було обманом змусити людину надати дозвіл на підключення до її облікового запису пристроїв, що належали хакерам.

Команда розвідки загроз Amazon виявила шкідливі домени, створені для цієї кампанії. Після цього фахівці ізолювали хмарні сервери (EC2), які використовували зловмисники, та у співпраці з Cloudflare і Microsoft заблокували шахрайські домени. Хакери з APT29 спробували перенести свою інфраструктуру до іншого хмарного провайдера та зареєстрували нові домени, однак аналітики Amazon відстежили ці дії та також їх припинили.

Ця кампанія демонструє еволюцію тактик APT29. Раніше вони покладалися на домени, що імітували сервіси Amazon Web Services (AWS), або намагалися обійти багатофакторну автентифікацію, змушуючи жертв створювати паролі для додатків. Тепер їхній технічний підхід став більш витонченим.

Представники Amazon наголосили, що ця атака не скомпрометувала інфраструктуру чи сервіси.