Amazon ha recentemente annunciato di aver identificato e interrotto una sofisticata campagna watering hole orchestrata dal gruppo APT29, notoriamente legato ai servizi segreti russi. Questa operazione malevola aveva come obiettivo la raccolta di informazioni sensibili attraverso il dirottamento di utenti verso infrastrutture controllate dagli attaccanti, sfruttando una particolare debolezza nel flusso di autenticazione tramite device code di Microsoft.

APT29: identità e tecniche di attacco

APT29, conosciuto anche come Cozy Bear, BlueBravo, Cloaked Ursa e altri nomi, è un gruppo di cybercriminali sponsorizzato dallo stato russo e attivo da anni in campagne di spionaggio informatico. Negli ultimi mesi, il gruppo è stato associato a diversi attacchi, molti dei quali rivolti a organizzazioni ucraine e occidentali, utilizzando tecniche di phishing sempre più avanzate. Tra queste, spicca proprio l'abuso del device code di Microsoft 365, che consente di ottenere accesso non autorizzato ai dati aziendali degli utenti.

Metodologia della campagna individuata

La campagna scoperta da Amazon si è distinta per l’adozione di siti web compromessi come vettori di attacco. Tramite l’iniezione di codice JavaScript malevolo, circa il 10% dei visitatori di questi siti veniva reindirizzato su domini che emulavano le pagine di verifica di Cloudflare, rafforzando così la percezione di legittimità. In realtà, lo scopo era convincere le vittime a inserire un device code generato dagli attaccanti, fornendo così a questi ultimi l’accesso completo all’account Microsoft della vittima e ai relativi dati sensibili.

Tecniche di evasione e persistenza

Una caratteristica notevole di questa operazione è l’adozione di tecniche di evasione avanzate, come l’offuscamento del codice tramite Base64, cookie per evitare redirect ripetuti e la rapida migrazione verso nuove infrastrutture cloud in caso di blocco delle precedenti. Amazon ha confermato di essere riuscita a collegare i domini utilizzati con quelli già attribuiti in passato ad APT29, sottolineando la persistenza e la capacità di adattamento del gruppo.

Risposta e monitoraggio della minaccia

Nonostante il tentativo degli attaccanti di spostare le proprie operazioni su provider cloud diversi da AWS, il team di threat intelligence di Amazon è riuscito a bloccare e monitorare l’evoluzione della minaccia, osservando anche la registrazione di nuovi domini malevoli con lo stesso schema operativo. Questo episodio rappresenta l’ennesima dimostrazione di come i gruppi APT evolvano le proprie modalità di attacco, puntando su tecniche sempre più difficili da individuare e su vettori meno tradizionali come le autenticazioni legittime.