Amazon stoppar Rysslands APT29-grupps webbplatser-attacker

Amazon Threat Intelligence har identifierat och stoppat en "watering hole"-kampanj som genomfördes av APT29 (även känd som Midnight Blizzard), en hotaktör associerad med Rysslands utrikestjänst (SVR). Undersökningen avslöjade en kampanj som använde komprometterade webbplatser för att omdirigera besökare till skadlig infrastruktur. Syftet var att lura användare att auktorisera attacker-kontrollerade enheter via Microsofts autentiseringsflöde för enhetskoder.

Detta opportunistiska tillvägagångssätt visar på APT29:s fortsatta utveckling i att skala sin verksamhet för bredare informationsinsamling. Taktiken följer ett mönster av tidigare observerad aktivitet från gruppen. I oktober 2024 stoppade Amazon ett försök från APT29 att använda domäner som imiterade AWS för nätfiske.

Google Threat Intelligence Group rapporterade i juni 2025 om APT29:s nätfiske-kampanjer riktade mot akademiker och kritiker av Ryssland. Den nuvarande kampanjen visar gruppens fortsatta fokus på att skörda inloggningsuppgifter och samla information, med tekniska förbättringar.

Amazon identifierade aktiviteten genom en analys som skapats för APT29:s infrastruktur. Vidare utredning visade att aktören hade komprometterat legitima webbplatser och injicerat obfuskerad JavaScript. Amazon konstaterar att APT29 visar förmåga att snabbt anpassa sin infrastruktur vid störningar och att de byter från JavaScript-omdirigeringar till server-side-omdirigeringar.