Amazon frustra campanha da APT29 (Midnight Blizzard) que visava credenciais do Microsoft 365


  •  

Pesquisadores da Amazon conseguiram interromper uma operação atribuído ao grupo de ciberespionagem russo APT29 (também conhecido como Midnight Blizzard), que buscava obter acesso a contas e dados do Microsoft 365.

O grupo comprometeu diversos sites legítimos em uma campanha de “watering hole” e redirecionou cerca de 10% dos visitantes para uma infraestrutura maliciosa projetada para enganar usuários — levando-os a autorizar dispositivos controlados pelos invasores via “device code authentication” da Microsoft :contentReference[oaicite:1]{index=1}.

A APT29 usou técnicas sofisticadas, como injeção de JavaScript ofuscado (codificado em base64), randomização dos redirecionamentos e uso de cookies para evitar que o mesmo usuário fosse redirecionado mais de uma vez :contentReference[oaicite:2]{index=2}.

"This opportunistic approach illustrates APT29’s continued evolution in scaling their operations to cast a wider net in their intelligence collection efforts.", comenta CJ Moses, diretor de segurança da Amazon.

Após a detecção da campanha, a equipe de inteligência de ameaças da Amazon isolou instâncias EC2 afetadas e, em conjunto com a Cloudflare e a Microsoft, derrubou os domínios maliciosos como findcloudflare[.]com e cloudflare[.]redirectpartners[.]com :contentReference[oaicite:3]{index=3}.

A Amazon confirmou que sua própria infraestrutura AWS não foi comprometida e que não houve impacto direto aos seus serviços :contentReference[oaicite:4]{index=4}.

Recomendações de segurança

  • Verificar cuidadosamente solicitações de autorização de dispositivos;
  • Habilitar autenticação multifator (MFA) sempre que possível;
  • Evitar executar comandos copiados diretamente de páginas da web;
  • Para administradores: monitorar acessos suspeitos e avaliar a desativação do fluxo de autenticação via “device code” se não for essencial :contentReference[oaicite:5]{index=5}.

Este incidente ressalta a sofisticação crescente dos métodos da APT29 e enfatiza a importância da colaboração entre empresas como Amazon, Microsoft e Cloudflare para conter ameaças patrocinadas por Estado.