-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
AmazonがAPT29の水飲み場型攻撃キャンペーンを阻止、攻撃者の狙いはデバイスコードフィッシング
The Hacker News – Aug 29, 2025
Amazonは8月29日、ロシア関連のアクターAPT29による水飲み場型攻撃を発見し、阻止したと発表。特定のターゲットを狙うのではなく数打ちゃ当たる方式で実施されていたとみられるこのキャンペーンは、同APTのインテリジェンス収集の取り組みの一部だったという。
APT29は、Midnight Blizzard、Cozy Bear、Earth Koshcheiなどの呼称でも知られる国家支援型ハッキンググループ。ロシア対外情報庁(SVR)との繋がりが指摘される同グループは、何らかの方法で侵害された正規のWebサイトにJavaScriptを注入。このスクリプトにより、当該サイトを訪問したユーザーのおよそ10%を自らの制御するドメインへリダイレクトさせたという。
リダイレクト先のサイトは「findcloudflare[.]com」などのサイト。Cloudflareの認証ページを真似て疑いを抱かせないようにしているが、実際の目的は、ユーザーを騙して攻撃者が生成した正規のデバイスコードを入力させ、ユーザーのマイクロソフトアカウントおよびデータへのアクセスを盗み取ることだったとされる。これはデバイスコードフィッシングと呼ばれる手法で、デバイスコード認証という「ユーザーが Web ブラウザーまたはキーボードを持たないデバイス上のアプリケーションにサインインできるようにする 、Azure Active Directory (Azure AD) によって提供される認証フローの一種」を悪用する手口。セキュリティ企業Volexityの報告によれば、APT29のほか、ロシア関連のハッカーStorm-2372、UTA0304、UTA0307がデバイスコードフィッシングを採用しているとされる。
Amazonはこのキャンペーンを発見後、影響を受けるEC2インスタンスを素早く隔離。Cloudflareやその他のプロバイダーと協力してAPT29のドメインを停止し、関連する情報をマイクロソフトに共有したという。これを受けAPT29は新たなインフラへの移行を試みているものの、Amazonのチームは追跡と妨害の取り組みを続けている。なお、今回のキャンペーンで侵害されたWebサイトがいくつかあるのかや、そもそもどのような方法でこれらのサイトがハッキングされたかなどの詳細については不明とのこと。
とは?.jpg)
