Amazon interrompe campanha de watering hole do APT29 que abusava da autenticação de código de dispositivo da Microsoft

A Amazon anunciou em 29 de agosto de 2025 que identificou e interrompeu uma campanha de watering hole oportunista realizada pelo grupo APT29, ligado à Rússia, como parte de seus esforços de coleta de inteligência.

A campanha utilizava sites comprometidos para redirecionar visitantes para infraestrutura maliciosa projetada para enganar os usuários e fazer com que autorizassem dispositivos controlados pelos atacantes através do fluxo de autenticação de código de dispositivo da Microsoft.

O APT29, também conhecido como BlueBravo, Cozy Bear e Midnight Blizzard, é um grupo de hackers patrocinado pelo estado com ligações com o Serviço de Inteligência Estrangeira da Rússia (SVR). Recentemente, o grupo tem utilizado vários métodos de phishing, incluindo phishing de código de dispositivo, para obter acesso não autorizado a contas do Microsoft 365.

Os ataques envolveram o comprometimento de sites legítimos e a injeção de JavaScript que redirecionava aproximadamente 10% dos visitantes para domínios controlados pelos atacantes. O objetivo final era induzir as vítimas a inserir um código de dispositivo legítimo gerado pelos invasores em uma página de login, concedendo-lhes acesso às suas contas e dados da Microsoft.

A campanha incorporou técnicas de evasão, como codificação Base64 para ocultar código malicioso e uso de cookies para evitar redirecionamentos repetidos. A Amazon continuou rastreando e interrompendo as operações mesmo após os atacantes migrarem para outra provedora de nuvem.

Esta atividade destaca os esforços contínuos do APT29 para evoluir suas operações e ampliar sua rede de coleta de inteligência.