Threats
A campanha envolvia a injeção de código malicioso em sites legítimos, reencaminhando oportunisticamente utilizadores para domínios controlados pelos invasores, onde eram induzidos a autenticar dispositivos sob controlo do grupo russo
04/09/2025
|
A Amazon revelou ter interrompido uma campanha de ciberespionagem russa que explorava sites legítimos para recolher credenciais de contas Microsoft. O ataque é atribuído ao grupo patrocinado pelo Estado conhecido como Midnight Blizzard ou APT29. O APT29, também rastreado como Cozy Bear, the Dukes e Yttrium, será apoiado pelo Serviço de Inteligência Estrangeira da Rússia (SVR) e tem como objetivo a recolha de credenciais e informações estratégicas. Segundo a Amazon, o ataque demonstrou uma evolução na capacidade do grupo de escalar operações de ciberespionagem de forma mais ampla. O método utilizado envolvia reencaminhamentos para domínios falsos, como findcloudflare[.]com, que imitava páginas legítimas de verificação da Cloudflare. Nas páginas maliciosas, as vítimas eram induzidas a iniciar sessão nas suas contas Microsoft, o que permitia aos invasores controlar os dispositivos associados. De acordo com CJ Moses, CISO da Amazon, apenas cerca de 10% dos visitantes dos sites comprometidos foram redirecionados para os domínios maliciosos. Acrescenta ainda que “esta abordagem oportunista ilustra a evolução contínua do APT29 na ampliação das suas operações para lançar uma rede mais vasta nos esforços de recolha de inteligência”. A Midnight Blizzard aplicou técnicas para reduzir a deteção, incluindo o envio aleatório dos utilizadores, ocultação do código malicioso com codificação base64 e configuração de cookies para evitar que as mesmas vítimas fossem redirecionadas repetidamente. Quando a infraestrutura era bloqueada, os invasores alteravam rapidamente os domínios e mudavam de fornecedor cloud, registando novos endereços, como cloudflare[.]redirectpartners[.]com, segundo a Amazon. CJ Moses ressalta que os sistemas da AWS não foram comprometidos, nem houve impacto direto nos serviços ou na infraestrutura da empresa. Esta não é a primeira ação do APT29 neste contexto: já no ano passado, o grupo fez-se passar por colaboradores da AWS e da Microsoft para entregar arquivos de configuração RDP a utilizadores desprevenidos. Em junho de 2025, a Google alertou sobre ataques direcionados ao recurso de “palavra-passe específica da aplicação”, induzindo utilizadores do Gmail a fornecer acesso sem autenticação multifator. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
THREATS
SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos
THREATS
Segredos expostos no GitHub atingem empresas de IA avaliadas em mais de 400 mil milhões de euros
THREATS
TP-Link: EUA avançam com proposta para banir a marca
THREATS
Vulnerabilidade zero-day em dispositivos explorada para distribuir spyware
THREATS
Plataformas de cloud e IA são porta de entrada para ataques no setor industrial
