Amazon виявив і перервав кампанію “watering hole”, організовану хакерською групою APT29, пов’язаною з Росією, яка використовувала зловмисні сайти для перенаправлення відвідувачів на інфраструктуру, що обманювала користувачів авторизувати пристрої, контрольовані зловмисниками, через механізм аутентифікації Microsoft за допомогою кодів пристроїв.

Про це повідомив CJ Moses, головний інформаційний офіцер безпеки Amazon. APT29, також відома як BlueBravo, Cloaked Ursa, Cozy Bear та інші, пов’язана з російською зовнішньою розвідкою (SVR) і відома своїми атаками на високопоставлені цілі, зокрема українські організації, використовуючи шкідливі файли конфігурації RDP для викрадення даних. Нещодавно APT29 застосовувала фішингові методи, такі як фішинг за допомогою кодів пристроїв та приєднання до пристроїв, для несанкціонованого доступу до облікових записів Microsoft 365.

У червні 2025 року Google повідомила, що група, пов’язана з APT29, експлуатувала функцію специфічних паролів додатків Google для доступу до електронної пошти жертв. Останні дії, виявлені командою Amazon, демонструють еволюцію тактик APT29, спрямованих на збір розвідданих, зокрема через компрометацію легітимних сайтів із ін’єкцією JavaScript, що перенаправляло до 10% відвідувачів на домени, контрольовані зловмисниками, як-от findcloudflare[.]com, імітуючи сторінки перевірки Cloudflare.

Метою було спонукати жертв ввести легітимний код пристрою на сторінці входу, надаючи доступ до їхніх Microsoft-облікових записів. Атаки включали техніки обходу, такі як кодування Base64 для приховування коду, використання файлів cookie для запобігання повторним перенаправленням та перехід на нову інфраструктуру, коли попередня була заблокована. Amazon продовжував відстежувати та переривати операції, навіть коли APT29 переходила на інші хмарні платформи, реєструючи нові домени, як-от cloudflare.redirectpartners[.]com. Рекомендації: будьте обережні з підозрілими сайтами, увімкніть двофакторну аутентифікацію та регулярно перевіряйте активність облікових записів.