Código HTML do Conteúdo
Post: Amazon interrompe hackers russos APT29 visando o Microsoft 365 - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Pesquisadores interromperam uma operação atribuída ao grupo de ameaças patrocinado pelo Estado russo Midnight Blizzard, quebuscou acesso a contas e dados do Microsoft 365.</p>
<p>Também conhecido como APT29, o grupo de hackers comprometeu sites em uma campanha para redirecionar alvos selecionados “para infraestrutura maliciosa projetada para induzir os usuários a autorizar dispositivos controlados por invasores por meio do fluxo de autenticação de código de dispositivo da Microsoft”.</p>
<p>O agente da ameaça Midnight Blizzard foi vinculado ao Serviço de Inteligência Estrangeira da Rússia (SVR) e é bem conhecido por seus métodos inteligentes de phishing que recentemente impactaram <a href="https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/" rel="nofollow noopener" target="_blank">Embaixadas europeias</a>, <a href="https://www.bleepingcomputer.com/news/security/hpe-notifies-employees-of-data-breach-after-russian-office-365-hack/" rel="nofollow noopener" target="_blank">Hewlett Packard Empresa</a>e <a href="https://www.bleepingcomputer.com/news/security/teamviewer-links-corporate-cyberattack-to-russian-state-hackers/" rel="nofollow noopener" target="_blank">TeamViewer</a>.</p>
<h3>Seleção aleatória de alvo</h3>
<p>A equipe de inteligência de ameaças da Amazon descobriu os nomes de domínio usados na campanha watering hole depois de criar uma análise para a infraestrutura do APT29.</p>
<p>Uma investigação revelou que os hackers comprometeram vários sites legítimos e ofuscaram códigos maliciosos usando a codificação base64.</p>
<p>Ao usar a randomização, o APT29 redirecionou cerca de 10% dos visitantes do site comprometido para domínios que imitam as páginas de verificação do Cloudflare, como <em>EncontrarCloudFlare[.]com</em>ou <em>Cloudflare[.]parceiros de redirecionamento[.]com</em>.</p>
<div>
<p><img decoding="async" alt="JavaScript mal-intencionado que redireciona para domínios controlados pelo invasor" height="407" src="https://www.bleepstatic.com/images/news/u/1220909/2025/August/jscript(1).jpg" width="900 /></div>
<p>As Amazon <a href=">Explica em um relatório sobre a ação recente, os agentes de ameaças usaram um sistema baseado em cookies para impedir que o mesmo usuário fosse redirecionado várias vezes, reduzindo a suspeita.</p>
<p>As vítimas que acessaram as páginas falsas do Cloudflare foram guiadas para um fluxo de autenticação de código de dispositivo malicioso da Microsoft, na tentativa de induzi-las a autorizar dispositivos controlados por invasores.</p>
<div>
<p><img decoding="async" alt="Páginas falsas de verificação da Cloudflare" height="444" src="https://datalake.azaeo.com/wp-content/uploads/2025/09/cloudflare.jpg" width="900 /></div>
<p>Amazon notes that once the campaign was discovered, its researchers isolated the EC2 instancesthe threat actor used, partnered with Cloudflare and Microsoft to disrupt the identified domains.</p>
<p>The researchers observed that APT29 tried to move its infrastructure to another cloud provider and registered new domain names (e.g. <em>cloudflare[.]redirectpartners[.]com</em>).</p>
<p>CJ Moses, Amazon's Chief Information Security Officer, says that the researchers continued to trackthe threat actor's movementand disrupted the effort.</p>
<p>Amazon underlines that this latest campaign reflects an evolution for APT29 for the same purpose of collecting credentials and intelligence.</p>
<p>However, there are ">domínios que se fazem passar por AWS ou engenharia social tentam contornar a autenticação multifator (MFA) enganando os alvos para que criem<a href="https://www.bleepingcomputer.com/news/security/russian-hackers-bypass-gmail-mfa-using-stolen-app-passwords/" rel="nofollow noopener" target="_blank">senhas específicas do aplicativo</a>.</p>
<p>Recomenda-se que os usuários verifiquem as solicitações de autorização do dispositivo, habilitem a autenticação multifator (MFA) e evitem executar comandos em seu sistema que são copiados de páginas da Web.</p>
<p>Os administradores devem considerar desabilitar falhas desnecessárias de autorização de dispositivo sempre que possível, impor políticas de acesso condicional e monitorar de perto eventos de autenticação suspeitos.</p>
<p>A Amazon enfatizou que esta campanha APT29 não comprometeu sua infraestrutura nem impactou seus serviços.</p>
</div>
</div>
<div>
<div>
<h5><a href="https://www.bleepingcomputer.com/author/bill-toulas/" target="_blank">Bill Toulas</a> <span> <a aria-label="Email bill.toulas@bleepingcomputer.com" href="https://www.bleepingcomputer.com/news/security/amazon-disrupts-russian-apt29-hackers-targeting-microsoft-365/mailto:bill.toulas@bleepingcomputer.com" target="_blank"><i aria-hidden="true" title="Email bill.toulas@bleepingcomputer.com"></i></a> <a aria-label="Open Author's twitter page" href="https://twitter.com/billtoulas" rel="noopener" target="_blank"><i aria-hidden="true" title="Open Author's twitter page"></i></a></span></h5>
<p> Bill Toulas é redator de tecnologia e repórter de notícias de segurança da informação com mais de uma década de experiência trabalhando em várias publicações online, cobrindo código aberto, Linux, malware, incidentes de violação de dados e hacks.
</p>
</div>
</div>
<h3>Você também pode gostar:</h3>
</div></div>