Amazon odhalil útok APT29: Útočníci zneužili autentizaci přes Microsoft Device Code

Společnost Amazon na konci srpna informovala o odhalení a narušení sofistikované watering hole kampaně, za kterou stojí ruská státem podporovaná skupina APT29 (známá také jako Cozy Bear, Midnight Blizzard nebo Cloaked Ursa). Kampaň měla za cíl získat neoprávněný přístup k účtům Microsoft 365 pomocí zneužití legitimního procesu device code autentizace.

Skupina APT29 kompromitovala legitimní webové stránky, na které injektovala škodlivý JavaScript. Ten následně přesměrovával přibližně 10 % návštěvníků na domény pod kontrolou útočníka, např. findcloudflare[.]com, které napodobovaly vzhled ověřovacích stránek služby Cloudflare.

Cílem bylo přimět uživatele, aby zadali do zobrazené stránky device code – legitimní kód, generovaný útočníkem, který následně umožnil propojení napadeného zařízení s Microsoft účtem oběti. Tímto způsobem získal útočník přístup k e-mailům, dokumentům a dalším datům uloženým v rámci Microsoft 365.

Tato technika není nová – byla poprvé podrobně popsána Microsoftem a firmou Volexity v únoru 2025. Celý proces využívá legitimní autentizační rozhraní Microsoftu, a tedy nepůsobí na první pohled podezřele. Nejde o klasické phishingové stránky, ale o zneužití procesu, který je běžně používán pro přihlášení zařízení bez klávesnice.

APT29 a jejich rostoucí aktivita v roce 2025

Rok 2025 ukazuje, že APT29 rozšiřuje svůj repertoár metod. Kromě phishingu zaměřeného na device code a tzv. device join phishing (útoky při registraci zařízení do domény) skupina letos využila také škodlivé RDP konfigurační soubory v útocích na ukrajinské subjekty, zneužila application-specific passwords v Google účtech (pozorováno Googlem v červnu) a použila také systematickou migraci infrastruktury mezi cloudovými poskytovateli s cílem vyhnout se detekci.

Amazon potvrdil, že útočníci aktivně měnili infrastrukturu a domény – například přechod z AWS na jiné poskytovatele – ale jejich bezpečnostní tým dokázal útoky nadále sledovat a částečně je narušit.

Evasion techniky a míra sofistikovanosti

APT29 v této kampani nasadila několik metod pro ztížení detekce:

– Base64 kódování škodlivého JavaScriptu;

– cookie-based filtrace pro zabránění opakovanému přesměrování stejného návštěvníka;

– rychlá rotace domén a poskytovatelů, aby se zabránilo blokaci.

Po zásahu Amazonu byly zaznamenány nové domény, např. cloudflare.redirectpartners[.]com, které pokračovaly ve stejném schématu útoku.

Co z toho plyne pro bezpečnostní týmy?

Tato kampaň je dalším důkazem toho, že státem podporované aktéry jako APT29 nadále zneužívají legitimní procesy a technologie k průnikům do systémů. Organizace by měly věnovat zvýšenou pozornost monitorování autentizačních procesů v rámci Microsoft 365 a dalších cloudových služeb, včasné detekci neobvyklého chování spojeného s device code autentizací, ochraně webových služeb před injekcí škodlivého kódu a přesměrováními i osvětě a huntingu, které umožní identifikaci takových kampaní včas.

Amazon tento případ označil za „oportunistický“ – tedy ne zcela cílený, ale škálovaný. Jde o důkaz, že APT29 se snaží rozšířit rozsah svých aktivit a zefektivnit sběr zpravodajsky cenných informací.

Zdroj: aws.amazon.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI