MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
amazon

أمازون تعطل حملة APT29 للغش الإلكتروني تستغل مصادقة رمز جهاز مايكروسوفت

تعطل أمازون حملة APT29 التي تستهدف المستخدمين عبر مواقع مخترقة، بهدف سرقة بيانات اعتماد مايكروسوفت باستخدام تقنية مصادقة رمز الجهاز.

أمازون تعطل حملة APT29 للغش الإلكتروني تستغل مصادقة رمز جهاز مايكروسوفت

المايسترو نيرو - قسم الاستخبارات التهديدية / البرامج الضارة

أعلنت أمازون يوم الجمعة أنها كشفت وعطلت ما وصفته بحملة غش إلكتروني (watering hole) فرصة تديرها عناصر APT29 المرتبطة بروسيا كجزء من جهود جمع المعلومات الاستخبارية.

"استخدمت الحملة مواقع ويب مخترقة لإعادة توجيه الزوار إلى بنية تحتية ضارة مصممة لخداع المستخدمين لتفعيل أجهزة يتحكم فيها المهاجمون من خلال تدفق مصادقة رمز الجهاز من مايكروسوفت،" قال CJ موسز، كبير مسؤولي أمن المعلومات في أمازون.

APT29، والمعروف أيضًا باسم BlueBravo وCloaked Ursa وCozy Bear، هو الاسم المخصص لمجموعة قرصنة مدعومة من دولة لها صلات بجهاز الاستخبارات الخارجية الروسي (SVR).

في الأشهر الأخيرة، تم ربط هذا الفاعل التهديدي النشط بهجمات تستغل ملفات تكوين بروتوكول سطح المكتب البعيد (RDP) الضارة لاستهداف الكيانات الأوكرانية وسرقة البيانات الحساسة.

منذ بداية العام، لوحظ أن هذه المجموعة تتبني طرق تصيد احتيالي مختلفة، بما في ذلك "phishing رمز الجهاز" و"phishing انضمام الجهاز"، للحصول على وصول غير مصرح به إلى حسابات Microsoft 365.

في يونيو 2025، أفادت Google أنها رصدت تجمعًا تهديديًا مرتبطًا بـ APT29 يستغل ميزة في حساب Google تُعرف بكلمات مرور خاصة بالتطبيق للوصول إلى رسائل البريد الإلكتروني للضحايا.

تفاصيل الهجوم:

تشير أحدث الأنشطة التي حددتها فريق الاستخبارات التهديدية في أمازون إلى استمرار جهود الفاعل التهديدي لجمع بيانات الاعتماد وجمع المعلومات ذات الأهمية، مع تحسين أساليبه في نفس الوقت.

شملت الهجمات اختراق APT29 لمواقع ويب شرعية متنوعة وحقن أكواد JavaScript أعادت توجيه حوالي 10% من الزوار إلى نطاقات يتحكم فيها المهاجمون، مثل findcloudflare[.]com، والتي شبهت صفحات التحقق من Cloudflare لإعطاء وهم من الشرعية.

في الواقع، كان الهدف النهائي للحملة هو إغراء الضحايا بإدخال رمز جهاز شرعي تم إنشاؤه بواسطة الفاعل التهديدي في صفحة تسجيل دخول، مما يمنحهم فعليًا الوصول إلى حسابات مايكروسوفت وبيانات الضحايا.

تقنيات التهرب:

تُذكر هذه الحملة أيضًا بدمجها لتقنيات تهرب متنوعة، مثل ترميز Base64 لإخفاء الكود الضار، وتعيين ملفات تعريف الارتباط لمنع إعادة التوجيه المتكررة لنفس الزائر، والانتقال إلى بنية تحتية جديدة عند حظرها.

"على الرغم من محاولات الفاعل الانتقال إلى بنية تحتية جديدة، بما في ذلك الانتقال من AWS إلى مزود سحابة آخر، واصل فريقنا تتبع وتعطيل عملياتهم،" قال موسز. "بعد تدخلنا، رصدنا الفاعل وهو يسجل نطاقات إضافية مثل cloudflare.redirectpartners[.]com، والتي حاولت مرة أخرى إغراء الضحايا إلى سير عمل مصادقة رمز جهاز مايكروسوفت."

يُعد هذا التدخل من أمازون مثالًا على التعاون المستمر لمواجهة التهديدات السيبرانية المعقدة التي تستهدف الحسابات السحابية على نطاق واسع.

آخر تحديث: 7 أكتوبر 2025