Российские хакеры пытались атаковать Microsoft

Кибератака APT29 на Microsoft 365 - Amazon раскрыла новую схему российских хакеров

Amazon помешала российским хакерам получить доступ к данным Microsoft 365 / Коллаж 24 Канала/Freepik

Специалисты Amazon обнаружили и остановили масштабную кибероперацию, организованную российской группировкой Midnight Blizzard (APT29). Хакеры пытались получить несанкционированный доступ к учетным записям и данным пользователей сервиса Microsoft 365, используя для этого новую изощренную тактику.

Как именно хакеры пытались обмануть пользователей?

Специалистам по кибербезопасности компании Amazon удалось сорвать операцию, за которой стоит известная российская государственная группировка Midnight Blizzard, также известная как APT29. Злоумышленники, которых связывают со Службой внешней разведки России, известны своими продуманными фишинговыми атаками, от которых ранее пострадали европейские посольства, Hewlett Packard Enterprise и TeamViewer. На этот раз целью хакеров было получение доступа к учетным записям Microsoft 365 и конфиденциальных данных их владельцев, пишет 24 Канал со ссылкой на Bleeping Computer.

Чтобы достичь своей цели, хакеры взломали ряд легитимных сайтов и разместили на них скрытый вредоносный код, замаскировав его с помощью кодирования Base64. Этот код срабатывал не для всех, а только для примерно 10% посетителей. Их случайным образом перенаправляли на мошеннические домены, которые имитировали страницы проверки безопасности сервиса Cloudflare. Чтобы не вызвать подозрений, злоумышленники использовали систему на основе файлов cookie, которая не позволяла повторно перенаправлять одного и того же пользователя.

Тех, кто все же попадал на поддельную страницу, далее направляли на вредоносный процесс аутентификации устройства Microsoft. Конечной целью было обманом заставить человека предоставить разрешение на подключение к его учетной записи устройств, принадлежавших хакерам.

Команда разведки угроз Amazon обнаружила вредоносные домены, созданные для этой кампании. После этого специалисты изолировали облачные серверы (EC2), которые использовали злоумышленники, и в сотрудничестве с Cloudflare и Microsoft заблокировали мошеннические домены. Хакеры из APT29 попытались перенести свою инфраструктуру к другому облачному провайдеру и зарегистрировали новые домены, однако аналитики Amazon отследили эти действия и также их прекратили.

Эта кампания демонстрирует эволюцию тактик APT29. Ранее они полагались на домены, имитирующие сервисы Amazon Web Services (AWS), или пытались обойти многофакторную аутентификацию, заставляя жертв создавать пароли для приложений. Теперь их технический подход стал более изощренным.

Представители Amazon подчеркнули, что эта атака не скомпрометировала инфраструктуру или сервисы.

В то же время специалисты советуют пользователям всегда тщательно проверять запросы на авторизацию новых устройств, обязательно использовать многофакторную аутентификацию и никогда не выполнять на компьютере команды, скопированные с веб-страниц.
Системным администраторам рекомендуется отключать ненужные процессы авторизации устройств, внедрять политики условного доступа и внимательно следить за подозрительными событиями аутентификации в системе.