Amazonは、Microsoftユーザーを標的とし、侵害されたウェブサイトを通じてユーザーを悪意のあるインフラに機会的にリダイレクトするロシアのウォータリングホール型キャンペーンを阻止しました。
国家支援型サイバースパイグループ「Midnight Blizzard」(APT29、Cozy Bear、the Dukes、Yttriumとしても追跡されている)に帰属し、ロシア対外情報庁(SVR)が支援していると考えられるこの攻撃は、認証情報の窃取と情報収集に焦点を当てていました。
APTは正規のウェブサイトを侵害し、JavaScriptコードを挿入して訪問者を攻撃者が管理するドメイン(Cloudflareの認証ページを模倣したfindcloudflare[.]comなど)にリダイレクトさせていました。
悪意のあるドメインにリダイレクトされた被害者は、Microsoftアカウントにログインし、攻撃者が管理するデバイスをMicrosoftのデバイスコード認証フローを通じて承認するよう騙されました。
AmazonのCISOであるCJ Moses氏によると、侵害されたウェブサイトの訪問者のうち、脅威アクターが管理するドメインにリダイレクトされたのは約10%のみだったとのことです。
「この機会主義的な手法は、APT29が情報収集活動の規模を拡大し、より広範囲にわたる作戦を展開し続けていることを示しています」とMoses氏は述べています。
この攻撃の一環として、Midnight Blizzardはランダム化を利用してごく一部の訪問者のみをリダイレクトし、悪意のあるコードをbase64エンコーディングで隠し、同じ被害者が繰り返しリダイレクトされないようクッキーを設定していました。
ブロックされた場合、攻撃者は迅速に新たなインフラを構築し、新しいクラウドプロバイダーへの移行やcloudflare[.]redirectpartners[.]comというドメインの登録などを行ったとAWSは述べています。
広告。スクロールして続きをお読みください。
「AWSのシステムが侵害された事実はなく、AWSサービスやインフラへの直接的な影響も確認されていません」とMoses氏は指摘しています。
昨年、Midnight BlizzardはAWSになりすまし、Microsoftの従業員になりすまして、無防備なユーザーにRDP構成ファイルを配布しました。2025年6月には、Googleが、APTによる「アプリ固有のパスワード」機能を悪用し、GmailユーザーからMFA(多要素認証)なしでアカウントにアクセスさせる攻撃について警告しました。
関連記事: ロシア国家系ハッカー、デバイスコードフィッシングで組織を標的に
関連記事: HPE、2023年のロシアによるハッキングで個人情報が盗まれたと発表
翻訳元: https://www.securityweek.com/amazon-disrupts-russian-hacking-campaign-targeting-microsoft-users/