TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ทีมวิจัยของ Amazon สามารถขัดขวางปฏิบัติการของกลุ่มแฮกเกอร์ Midnight Blizzard หรือ APT29 ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งพยายามเข้าถึงบัญชี Microsoft 365 ผ่านการโจมตีแบบ watering hole
Amazon ได้เปิดเผยรายละเอียดการค้นพบและขัดขวางแคมเปญโจมตีของกลุ่ม APT29 ที่เชื่อมโยงกับหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) โดยกลุ่มแฮกเกอร์ได้ใช้วิธีการโจมตีแบบ watering hole ผ่านการเจาะระบบเว็บไซต์ที่ถูกต้องตามกฎหมายหลายแห่ง และฝังโค้ดที่ถูกเข้ารหัสด้วย base64 เพื่อเปลี่ยนเส้นทางผู้เยี่ยมชมประมาณ 10% ไปยังโดเมนปลอมที่เลียนแบบหน้า Cloudflare verification อย่าง findcloudflare.com หรือ cloudflare.redirectpartners.com ระบบการโจมตีใช้ cookies เพื่อป้องกันการเปลี่ยนเส้นทางผู้ใช้งานคนเดียวกันหลายครั้ง ช่วยลดความสงสัยจากเหยื่อ
เมื่อเหยื่อเข้าสู่หน้า Cloudflare ปลอม พวกเขาจะถูกนำไปสู่กระบวนการ Microsoft device code authentication ที่เป็นอันตราย เพื่อหลอกให้อนุญาตอุปกรณ์ที่ผู้โจมตีควบคุม ทีมข่าวกรองภัยคุกคามของ Amazon ค้นพบโครงสร้างพื้นฐานนี้หลังจากสร้างระบบวิเคราะห์สำหรับโครงสร้างของ APT29 และได้ทำงานร่วมกับ Cloudflare และ Microsoft เพื่อขัดขวางโดเมนที่ระบุ รวมถึงแยก EC2 instances ที่ผู้โจมตีใช้งาน แม้ว่า APT29 จะพยายามย้ายโครงสร้างพื้นฐานไปยังผู้ให้บริการคลาวด์อื่นและลงทะเบียนโดเมนใหม่ แต่ทีมวิจัยยังคงติดตามและขัดขวางความพยายามเหล่านั้นอย่างต่อเนื่อง
CJ Moses หัวหน้าเจ้าหน้าที่ความปลอดภัยสารสนเทศของ Amazon กล่าวว่าแคมเปญนี้สะท้อนถึงวิวัฒนาการของ APT29 ที่ยังคงมีเป้าหมายเดิมในการรวบรวมข้อมูลประจำตัวและข่าวกรอง แต่มีการปรับปรุงวิธีการทางเทคนิค โดยไม่พึ่งพาโดเมนที่เลียนแบบ AWS หรือการโจมตีด้วย Social engineer เพื่อหลบเลี่ยง MFA อีกต่อไป Amazon แนะนำให้ผู้ใช้งานตรวจสอบคำขออนุญาตอุปกรณ์อย่างระมัดระวัง เปิดใช้งาน multi-factor authentication และหลีกเลี่ยงการรันคำสั่งที่คัดลอกจากหน้าเว็บ ขณะที่ผู้ดูแลระบบควรพิจารณาปิดการใช้งาน device authorization flow ที่ไม่จำเป็น บังคับใช้นโยบาย conditional access และติดตามเหตุการณ์การยืนยันตัวตนที่น่าสงสัยอย่างใกล้ชิด
