São Paulo — InkDesign News — A Amazon identificou e desmantelou uma campanha de ataque do grupo APT29, vinculado ao Serviço de Inteligência Externa da Rússia, que utilizava sites comprometidos para direcionar usuários a infraestrutura maliciosa, visando exploração do sistema de autenticação da Microsoft.
Incidente e vulnerabilidade
O grupo APT29, também conhecido como Midnight Blizzard, lançou uma campanha de “watering hole”, infiltrando códigos maliciosos em sites legítimos. A técnica envolve redirecionar usuários desavisados para domínios controlados pelos atacantes. Eles utilizaram um sistema baseado em códigos de dispositivo da Microsoft, tentando induzir as vítimas a aprovar dispositivos não autorizados para obter acesso a contas sensíveis.
Impacto e resposta
Durante a campanha, apenas 10% dos visitantes foram redirecionados, um número que ajudou a evitar a detecção imediata. Após a identificação da atividade, a equipe de segurança da Amazon isolou as instâncias EC2 comprometidas, cortou o acesso a domínios através de parcerias com Cloudflare e outras empresas, e compartilhou inteligência com a Microsoft para mitigar a ameaça.
“Apenas 10% dos visitantes foram redirecionados, permitindo que os atacantes evitassem uma detecção rápida enquanto ainda podiam atingir as vítimas.”
(“only about 10% of visitors were redirected, which allowed the attackers to avoid easy detection while still reaching victims.”)— CJ Moses, Chief Information Security Officer, Amazon
Mitigações recomendadas
A Amazon recomenda que usuários permaneçam alertas para solicitações inesperadas, especialmente quando se trata de autorizações de dispositivos. Embora a autenticação multifatorial (MFA) seja uma ferramenta poderosa de segurança cibernética, o sistema de código de dispositivo da Microsoft deve sempre ser verificado antes de aprovar qualquer solicitação. Medidas adicionais incluem o monitoramento constante das atividades de rede e a implementação de mecanismos de defesa em camadas.
A coordenação entre empresas como Amazon e Microsoft forçou o APT29 a abandonar sua campanha, mas é essencial que os usuários permaneçam vigilantes.”
(“coordinated efforts between companies like Amazon, Microsoft, and Cloudflare forced APT29 to quit; however, it is about time before the group resurfaces with new targets.”)— Análise sobre cibersegurança, Internauta
A vigilância e a adaptação continuam sendo cruciais, pois as ameaças cibernéticas podem evoluir rapidamente. As empresas e usuários devem manter práticas rigorosas de segurança para mitigar riscos futuros.
Fonte: (Hack Read – Segurança Cibernética)
