Los investigadores de Amazon interrumpieron este mes la última campaña del grupo de amenazas vinculado a ruso APT29 para robar credenciales de usuarios de Microsoft en lo que dijo el alto funcionario de seguridad del gigante de la nube «ilustra la evolución continua de APT29 en la reducción de sus operaciones para lanzar una red más amplia en sus esfuerzos de recaudación de inteligencia». El equipo de inteligencia de amenazas de Amazon detectó lo que dijeron que era una campaña oportunista de agujeros de riego que tenía como objetivo engañar a los usuarios a través de sitios web comprometidos para autorizar dispositivos controlados por los atacantes APT29 a través del flujo de autenticación del código de dispositivo de Microsoft. Los atacantes utilizaron los sitios web comprometidos para redirigir a los usuarios a su infraestructura maliciosa. Los investigadores de amenazas con Amazon habían creado una herramienta analítica para la infraestructura APT29, que en este caso descubrió los nombres de dominio controlados por el grupo de amenazas. «A través de una investigación adicional, Amazon identificó al actor comprometió varios sitios web legítimos e inyectó JavaScript que redirigió aproximadamente el 10% de los visitantes a estos dominios controlados por el actor», CISO, CISO de Amazon y vicepresidente de ingeniería de seguridad, escribió en una publicación de blog, y agregó que los dominios incluían FindCloudflowflearfluye.[.]com, que imitó las páginas de verificación de Cloudflare para parecer legítimas. «El objetivo final de la campaña fue el flujo de autenticación del código de dispositivo de Microsoft. No hubo compromiso de AWS [Amazon Web Services] sistemas, ni se observó un impacto directo en los servicios o infraestructura de AWS «. The malicious code used randomization to redirect a small percentage of visitors to the malicious infrastructure, employed base64 encoding to hide the malicious code, and set cookies to ensure that the same visitor wouldn’t be redirected more than once. When APT29’s efforts were blocked, the group pivoted to a new infrastructure, according to Moses. Chasing the Threat Group APT29 – a threat group with ties to Russia’s Foreign Servicio de inteligencia (SVR) que también se realiza con muchos otros nombres, incluidos Midnight Blizzard y Cosy Bear: usó instancias de AWS EC2 para ejecutar la campaña de agujeros de riego. El equipo continuó rastreando e interrumpiendo sus operaciones «, escribió Moisés.» Después de nuestra intervención, observamos que el actor registra dominios adicionales como CloudFlare[.]RedirectsPartners[.]com, que nuevamente intentó atraer a las víctimas a los flujos de trabajo de autenticación del código del dispositivo de Microsoft «. Un rastro de ataques de alto perfil surgió en la última década, con una variedad de operaciones cibernéticas en los Estados Unidos y en otros lugares. Solarwinds en 2020. En abril, los investigadores de Check Point dijeron que APT29 estaba utilizando invitaciones falsas de cata de vinos en una campaña de phishing dirigida a diplomáticos europeos en los recientes ataques, el grupo de amenazas ha mostrado interés en recopilar datos de Microsoft y credenciales, incluida la piratería de los ataques de TI. Los gobiernos, los grupos de investigación y otras organizaciones. APT29 «, los investigadores de amenazas de Security PICUS escribieron a fines del año pasado.» El oso acogedor ha estado a la vanguardia de los principales incidentes cibernéticos y ha demostrado una notable persistencia, adaptabilidad y destreza técnica a lo largo de los años «. Señalaron que APT29 se dirige a las organizaciones para el ciberiopelio, y agregó que su motivación es reunir la inteligencia que ayudará a los intereses nacionales de Rusia. Campañas ”, escribieron. «El grupo ha empleado cada vez más tácticas avanzadas, incluido el aprovechamiento de vulnerabilidades de día cero y el uso de malware sofisticado para evadir la detección. Esto muestra su inversión continua en capacidades ofensivas y un enfoque más amplio y estratégico para las operaciones cibernéticas». Artículos recientes de la URL de publicación original del autor: https://securityboulevard.com/2025/08/russian-linked-Atp29-makes-another-run-at-microsoft-credentials/?utm_source=rss&utm_medium=rss&utomegument=russian-linked-atp29-Makes-another-run-at-AtmOSof Tags: Cloud Security,Cybersecurity,Data Privacy,Data Security,Featured,Identity & Access,Network Security,News,Security Boulevard (Original),Social – Facebook,Social – LinkedIn,Social – X,Social Engineering,Spotlight,Threat Intelligence,Uncategorized,APT29,Cozy Bear,Microsoft,Midnight Blizzard,Phishing Attacks,russia hacker,watering hole attack – Cloud Security,Cybersecurity,Data Privacidad, seguridad de datos, destacada, identidad y acceso, seguridad de red, noticias, bulevar de seguridad (original), social – Facebook, social – LinkedIn, Social – X, Ingeniería Social, Spotlight, Inteligencia de amenazas, Uncategorizado, Apt29, Cosy Bear, Microsoft, Midnight Blizzard, Phishing Attacks, Russia Hacker, Attating Holing Attack.