Il Threat Intelligence Team di Amazon ha rilevato e bloccato un attacco informatico effettuato dal gruppo APT29, noto anche come Midnight Blizzard, associato ai servizi di intelligence della Russia. L’obiettivo dei cybercriminali era il furto delle credenziali degli account Microsoft 365 attraverso siti compromessi.
Descrizione della campagna di watering hole
Il gruppo APT29 è già noto per vari attacchi di phishing effettuati con lo scopo di rubare credenziali e dati sensibili, principalmente contro aziende, accademici e ambasciate. Durante la campagna più recente è stata usata la tecnica del watering hole che sfrutta siti compromessi (visitati spesso dalle vittime) per prendere il controllo degli account Microsoft 365.
Gli esperti di Amazon ha individuato diversi siti legittimi, in cui era stato iniettato codice JavaScript. Quando gli ignari visitatori (circa il 10%) aprivano una pagina del sito venivano reindirizzati verso domini gestiti dai cybercriminali. L’utente vedeva una pagina simile a quella usata da Cloudflare per verificare se il visitatore è umano.
Sul dispositivo della vittima veniva copiato un cookie per evitare reindirizzamenti ripetuti. Il codice JavaScript era offuscato tramite codifica base64. Nella pagina doveva essere inserito un indirizzo email valido. Successivamente veniva chiesto il codice per l’autenticazione all’account Microsoft 365. In questo modo venivano autorizzati i dispositivi controllati dai cybercriminali.
Amazon ha isolato l’istanza EC2 usata dal gruppo APT29 e interrotto la campagna con la collaborazione di Cloudflare e Microsoft. I cybercriminali hanno quindi cambiato provider e registrato un nuovo dominio. L’azienda di Seattle consiglia di verificare attentamente le richieste di autorizzazione dei dispositivi e di attivare l’autenticazione multi-fattore (MFA). Non devono inoltre essere eseguiti comandi mostrati in pagine web (attacco ClickFix).
Ti potrebbe interessare
2 set 2025