- Amazon, Cloudflare y Microsoft colaboraron para detener un ataque de "watering hole" dirigido a credenciales de Microsoft.
- El grupo ruso APT29 (Cozy Bear) comprometió varios sitios web para redirigir a los usuarios a dominios maliciosos que imitaban el flujo de autenticación de Microsoft.
- La campaña demuestra la creciente sofisticación de Cozy Bear en la recolección de credenciales y la adaptación de su infraestructura.
Amazon ha alertado sobre una nueva campaña de "watering hole" llevada a cabo por el grupo de hackers rusos APT29, también conocido como Cozy Bear. Este tipo de ataque consiste en infectar sitios web frecuentados por un grupo específico de personas para comprometer sus dispositivos. En esta ocasión, los atacantes lograron comprometer múltiples sitios web, utilizándolos para redirigir a las víctimas a dominios controlados por ellos, como findcloudflare[.]com y cloudflare[.]redirectpartners[.]com.
El objetivo principal de esta operación era la recolección de credenciales de acceso a cuentas de Microsoft. Los dominios maliciosos simulaban el flujo de autenticación de código de dispositivo de Microsoft para engañar a los usuarios y obtener sus nombres de usuario y contraseñas. Amazon destacó que la campaña muestra una evolución en las tácticas de APT29, incluyendo la capacidad de comprometer sitios legítimos, inyectar JavaScript ofuscado y adaptar rápidamente su infraestructura ante las interrupciones.
La colaboración entre Amazon, Cloudflare y Microsoft fue crucial para neutralizar la amenaza. Amazon aisló las instancias afectadas de AWS y, junto con Cloudflare, logró desmantelar los dominios maliciosos, notificando posteriormente a Microsoft. A pesar de que los atacantes intentaron migrar a otros dominios, estos también fueron bloqueados rápidamente. Se recomienda a los usuarios extremar las precauciones con los correos electrónicos y comunicaciones sospechosas, además de monitorizar sus cuentas financieras.