Na sexta-feira, a Amazon anunciou que identificou e interrompeu uma campanha do tipo watering hole, descrita como oportunista, orquestrada pelo grupo APT29, vinculado à Rússia, como parte de seus esforços de coleta de inteligência.
A campanha utilizava "websites comprometidos para redirecionar visitantes a uma infraestrutura maliciosa projetada para enganar usuários e fazê-los autorizar dispositivos controlados pelos atacantes por meio do fluxo de autenticação de device code da Microsoft", explicou CJ Moses, Chief Information Security Officer da Amazon.
APT29, também conhecido por outros nomes como BlueBravo, Cloaked Ursa, CozyLarch, Cozy Bear, Earth Koshchei, ICECAP, Midnight Blizzard e The Dukes, é um grupo de hackers patrocinado pelo Estado, com ligações ao Serviço de Inteligência Estrangeira da Rússia (SVR).
Nos últimos meses, esse ativo grupo de ameaças tem sido associado a ataques que utilizam arquivos maliciosos de configuração do Remote Desktop Protocol (RDP) para atingir entidades ucranianas e exfiltrar dados sensíveis.
Desde o início do ano, o coletivo adversário foi observado adotando diferentes métodos de phishing, incluindo device code phishing e device join phishing, com o objetivo de obter acesso não autorizado a contas Microsoft 365.
Em junho de 2025, o Google relatou ter observado um cluster de ameaças ligado ao APT29 explorando um recurso de contas Google chamado application-specific passwords para acessar os e-mails das vítimas.
Essa campanha altamente direcionada foi atribuída ao grupo UNC6293.
A atividade mais recente, identificada pela equipe de inteligência contra ameaças da Amazon, reforça o comprometimento do grupo em coletar credenciais e reunir informações relevantes, ao mesmo tempo em que aprimora suas técnicas.
"Essa abordagem oportunista ilustra a evolução contínua do APT29 em ampliar suas operações para lançar uma rede maior em seus esforços de coleta de inteligência", declarou Moses.
Os ataques envolveram a invasão de diversos websites legítimos, onde foi injetado código JavaScript que redirecionava cerca de 10% dos visitantes para domínios controlados pelos agentes, como o findcloudflare[.]com, que simulavam páginas de verificação da Cloudflare para dar uma aparência de legitimidade.
Na prática, o objetivo da campanha era induzir as vítimas a inserir um código legítimo de device code, gerado pelos atacantes, em uma página de login, concedendo-lhes acesso efetivo às contas e dados Microsoft das vítimas.
Essa técnica foi detalhada pela Microsoft e pela Volexity em fevereiro de 2025.
A atividade chamou atenção pelo uso de diversas técnicas de evasão, como codificação Base64 para ocultar o código malicioso, configuração de cookies para evitar redirecionamentos repetidos aos mesmos visitantes e migração para novas infraestruturas quando bloqueados.
"Apesar das tentativas do grupo de migrar para novas infraestruturas, incluindo uma mudança da AWS para outro provedor de cloud, nossa equipe continuou monitorando e interrompendo suas operações", afirmou Moses.
Após nossa intervenção, observamos que os atores registraram domínios adicionais, como cloudflare.redirectpartners[.]com, que novamente tentaram atrair vítimas para os fluxos de autenticação por device code da Microsoft.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...