摘要：亚马逊宣布，它已经挫败了由与俄罗斯有关的网络间谍组织APT29（又名 SVR 集团、 Cozy Bear、 Nobelium、 BlueBravo、 Midnight Blizzard和 The Dukes ）策划的水坑攻击活动。

亚马逊宣布，它已经挫败了由与俄罗斯有关的网络间谍组织APT29（又名 SVR 集团、 Cozy Bear、 Nobelium、 BlueBravo、 Midnight Blizzard和 The Dukes ）策划的水坑攻击活动。

亚马逊专家将这些攻击归类为一次水坑攻击活动，利用被入侵的网站将访问者重定向到恶意基础设施。攻击中使用的虚假网站旨在诱骗访问者通过微软的设备代码身份验证流程授权攻击者控制目标设备。

亚马逊发布的报告指出：“亚马逊威胁情报团队已识别并阻止了 APT29 发起的水坑攻击活动。”这种攻击方式表明，APT29 正在不断演变，不断扩大其行动规模，以扩大其情报收集范围。

APT29 持续改进其凭证窃取策略。继 AWS 和 Google 系统遭受破坏之后，其最新的水坑攻击活动展现出精妙的攻击手法：注入混淆的 JavaScript、切换到服务器端重定向以及快速调整基础设施。此次攻击活动以学者和俄罗斯批评人士为目标，收集情报。

亚马逊通过自定义分析发现了此次水坑攻击活动，发现了类似 findCloudflare[.]com 等模仿 Cloudflare 页面的威胁参与者域名。攻击者向合法网站注入了恶意 JavaScript，重定向了约 10% 的访问者，以捕获 Microsoft 设备代码身份验证。

攻击策略包括随机化、Base64 编码、Cookie 和快速基础设施调整。亚马逊与 Cloudflare 和微软合作，中断了相关运营，隔离了受影响的 EC2 实例，并屏蔽了恶意域名。

“尽管该攻击者尝试迁移到新的基础设施，包括从 AWS 迁移到其他云提供商，但我们的团队仍在持续追踪并扰乱其运营。” 报告总结道，并向用户和管理员提出了建议。“在我们介入后，我们发现该攻击者注册了其他域名，例如 cloudflare[.]redirectpartners[.]com，这些域名再次试图引诱受害者进入 Microsoft 设备代码身份验证工作流程。”

技术报告：

来源：会杀毒的单反狗