Új trükk, régi célpontok
Legutóbb az APT29 legitim weboldalakat tört fel, majd rosszindulatú JavaScript kódot helyezett el rajtuk. Ennek segítségével a látogatók mintegy 10 százalékát olyan domainekre irányították át, amelyek a Cloudflare ellenőrző felületeit utánozták. A megtévesztett felhasználókat arra próbálták rávenni, hogy egy általuk generált eszközkódot írjanak be a Microsoft-bejelentkezés során. Ezzel a művelettel a támadók saját eszközeiket hitelesítették, így hozzáférést szerezhettek az áldozatok fiókjaihoz és adataihoz.
Okos trükkök a lebukás elkerülésére
Az AWS szakértői feltárták, hogy az APT29 véletlenszerűen csak egy kis hányadot irányított át, base64 kódolást használt a rosszindulatú kód elrejtésére, sütikkel akadályozta meg az ismételt átirányítást, valamint blokkolás esetén gyorsan új infrastruktúrára váltott. Az AWS rendszereit nem érte közvetlen támadás. Az akciók pontos mérete és konkrét célpontjai ismeretlenek, de hasonló orosz akciók idén is elértek már kormányokat, civil szervezeteket, kutatókat és a védelmi szektort, a Google és a Microsoft szerint pedig az akadémiai világ, valamint Oroszország kritikusai is célkeresztbe kerültek.
