Trükkös átirányítás és megtévesztés
Az APT29 bonyolult technikákat alkalmazott, például legitim oldalak kompromittálását, a rosszindulatú kód base64 kódolását, valamint a véletlenszerű látogatók átirányítását olyan oldalakra, amelyek a Cloudflare ellenőrző oldalaira hasonlítottak (például findcloudflare[.]com). A visszaélések elkerülése érdekében cookie-alapú rendszerrel akadályozták meg, hogy ugyanaz a felhasználó többször is gyanús átirányítást kapjon.
Határozott lépések az Amazon és partnerei részéről
Az Amazon azonnal elkülönítette a hackerek által használt szervereket, valamint a Cloudflare-rel és a Microsofttal közösen hatástalanította a káros domaineket. Az APT29 újabb felhőszolgáltatóhoz is próbált áttérni új domainnevekkel, de a kutatók lépésről lépésre követték és akadályozták a tevékenységüket. Az új támadások már kifinomultabb technológiákat alkalmaznak, nem támaszkodnak egyszerű átverésekre vagy a többfaktoros hitelesítés (MFA) megkerülésére.
Tippek a felhasználóknak és adminisztrátoroknak
Javasolt az MFA engedélyezése, valamint a gyanús eszközengedélyezési kérelmek ellenőrzése. Az adminisztrátoroknak érdemes letiltani a felesleges eszköz-hozzáféréseket, és figyelniük kell a rendellenes bejelentkezéseket. Fontos, hogy a mostani támadások egyike sem érintette az Amazon szolgáltatásait vagy infrastruktúráját.
