01.09.2025
1 хв
496
Дослідники Amazon заблокували кампанію угруповання Midnight Blizzard (APT29), пов’язаного зі Службою зовнішньої розвідки РФ, яке націлювалося на облікові записи Microsoft 365. Хакери використовували заражені сайти та підроблені сторінки Cloudflare, щоб змусити жертв авторизувати пристрої, контрольовані атакуючими.
Експерти з Amazon Threat Intelligence виявили, що APT29 зламали низку легітимних сайтів і додали туди шкідливий JavaScript, зашифрований у base64. Приблизно 10% відвідувачів таких сторінок перенаправлялися на підроблені домени на кшталт *findcloudflare\[.]com*.
На цих фішингових сторінках користувачів вводили в оману, змушуючи їх пройти процедуру Microsoft Device Code Authentication, але вже в інтересах хакерів. Система на куках гарантувала, що одна й та сама жертва не буде перенаправлена кілька разів, аби уникнути підозр.
Amazon спільно з Microsoft і Cloudflare змогли ізолювати сервери в EC2, які використовувала група, та ліквідувати виявлені домени. Попри це, APT29 намагалися перенести інфраструктуру на інші хмарні сервіси й зареєструвати нові домени.
APT29 (також відоме як Midnight Blizzard) — одне з найбільш небезпечних кіберугруповань, яке діє від імені російської розвідки. Воно відоме складними фішинговими методами та атаками на урядові структури й компанії, серед яких Hewlett Packard Enterprise, TeamViewer та європейські посольства.
Нинішня кампанія демонструє еволюцію тактики: хакери вже не маскуються під AWS і не намагаються обійти MFA через app-specific паролі, а шукають нові методи збору даних та облікових даних.
Попри швидку реакцію Amazon та партнерів, діяльність APT29 свідчить про постійне вдосконалення російських кібероперацій. Фахівці радять користувачам перевіряти усі запити на авторизацію пристроїв, використовувати багатофакторну автентифікацію та уникати копіювання команд із ненадійних вебсайтів. Адміністраторам рекомендують застосовувати політики conditional access і відключати непотрібні механізми авторизації.
