Amazon ขัดขวางการโจมตีของแฮกเกอร์รัสเซีย APT29 ที่มุ่งเป้า Microsoft 365

ทีมวิจัยของ Amazon สามารถขัดขวางปฏิบัติการของกลุ่มแฮกเกอร์ Midnight Blizzard หรือ APT29 ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งพยายามเข้าถึงบัญชี Microsoft 365 ผ่านการโจมตีแบบ watering hole

Credit: macro-vectors/ShutterStock

Amazon ได้เปิดเผยรายละเอียดการค้นพบและขัดขวางแคมเปญโจมตีของกลุ่ม APT29 ที่เชื่อมโยงกับหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) โดยกลุ่มแฮกเกอร์ได้ใช้วิธีการโจมตีแบบ watering hole ผ่านการเจาะระบบเว็บไซต์ที่ถูกต้องตามกฎหมายหลายแห่ง และฝังโค้ดที่ถูกเข้ารหัสด้วย base64 เพื่อเปลี่ยนเส้นทางผู้เยี่ยมชมประมาณ 10% ไปยังโดเมนปลอมที่เลียนแบบหน้า Cloudflare verification อย่าง findcloudflare.com หรือ cloudflare.redirectpartners.com ระบบการโจมตีใช้ cookies เพื่อป้องกันการเปลี่ยนเส้นทางผู้ใช้งานคนเดียวกันหลายครั้ง ช่วยลดความสงสัยจากเหยื่อ

เมื่อเหยื่อเข้าสู่หน้า Cloudflare ปลอม พวกเขาจะถูกนำไปสู่กระบวนการ Microsoft device code authentication ที่เป็นอันตราย เพื่อหลอกให้อนุญาตอุปกรณ์ที่ผู้โจมตีควบคุม ทีมข่าวกรองภัยคุกคามของ Amazon ค้นพบโครงสร้างพื้นฐานนี้หลังจากสร้างระบบวิเคราะห์สำหรับโครงสร้างของ APT29 และได้ทำงานร่วมกับ Cloudflare และ Microsoft เพื่อขัดขวางโดเมนที่ระบุ รวมถึงแยก EC2 instances ที่ผู้โจมตีใช้งาน แม้ว่า APT29 จะพยายามย้ายโครงสร้างพื้นฐานไปยังผู้ให้บริการคลาวด์อื่นและลงทะเบียนโดเมนใหม่ แต่ทีมวิจัยยังคงติดตามและขัดขวางความพยายามเหล่านั้นอย่างต่อเนื่อง

CJ Moses หัวหน้าเจ้าหน้าที่ความปลอดภัยสารสนเทศของ Amazon กล่าวว่าแคมเปญนี้สะท้อนถึงวิวัฒนาการของ APT29 ที่ยังคงมีเป้าหมายเดิมในการรวบรวมข้อมูลประจำตัวและข่าวกรอง แต่มีการปรับปรุงวิธีการทางเทคนิค โดยไม่พึ่งพาโดเมนที่เลียนแบบ AWS หรือการโจมตีด้วย Social engineer เพื่อหลบเลี่ยง MFA อีกต่อไป Amazon แนะนำให้ผู้ใช้งานตรวจสอบคำขออนุญาตอุปกรณ์อย่างระมัดระวัง เปิดใช้งาน multi-factor authentication และหลีกเลี่ยงการรันคำสั่งที่คัดลอกจากหน้าเว็บ ขณะที่ผู้ดูแลระบบควรพิจารณาปิดการใช้งาน device authorization flow ที่ไม่จำเป็น บังคับใช้นโยบาย conditional access และติดตามเหตุการณ์การยืนยันตัวตนที่น่าสงสัยอย่างใกล้ชิด

ที่มา: https://www.bleepingcomputer.com/news/security/amazon-disrupts-russian-apt29-hackers-targeting-microsoft-365/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Verena Siow ได้รับแต่งตั้งเป็นประธานประจำภูมิภาคเอเชียแปซิฟิกของ SAP [PR]

SAP เอเชียแปซิฟิก (APAC) ประกาศแต่งตั้ง Verena Siow ดำรงตำแหน่งประธานประจำภูมิภาคเอเชียแปซิฟิก มีผลทันที โดยจะประจำอยู่ที่ประเทศสิงคโปร์ ในบทบาทใหม่นี้ เธอจะมุ่งขับเคลื่อนความสำเร็จของลูกค้า เร่งกระบวนการเปลี่ยนผ่านสู่ดิจิทัลของธุรกิจ และช่วยให้องค์กรทั่วภูมิภาคเอเชียแปซิฟิกได้รับคุณค่าสูงสุดจากโซลูชันของ SAP

หัวเว่ยชูแนวคิดเร่งพัฒนาโครงข่าย AI-Ready Networks ปลดล็อกอนาคตอัจฉริยะของภูมิภาคเอเชียแปซิฟิก [PR]

หัวเว่ย ระบุว่าการเติบโตอย่างรวดเร็วของเทคโนโลยีปัญญาประดิษฐ์ (AI) กำลังผลักดันให้โครงสร้างพื้นฐานด้านโทรคมนาคมต้องยกระดับจากการเป็นเพียงเครือข่ายสื่อสาร ไปสู่ AI-Ready Network ที่รองรับการประมวลผลอัจฉริยะ การรับส่งข้อมูลความหน่วงต่ำ และการเชื่อมต่อที่มีเสถียรภาพ เพื่อรองรับเศรษฐกิจดิจิทัลในอนาคต