【安全资讯】俄罗斯APT29组织利用伪造Cloudflare页面窃取微软凭证 AWS成功阻断攻击

概要：

亚马逊AWS近日成功阻断俄罗斯APT29组织（又称Cozy Bear）针对微软用户的大规模凭证窃取行动。该组织通过注入恶意代码的钓鱼网站，诱导用户授权攻击者设备访问其微软账户，此举凸显国家支持型网络间谍活动对全球关键机构的持续威胁。

主要内容：

APT29组织通过水坑攻击方式入侵合法网站，并注入恶意JavaScript代码。该代码会随机重定向约10%的访问者至攻击者控制的域名，包括伪装成Cloudflare验证页面的findcloudflare[.]com等恶意域名。

攻击技术核心在于诱导微软用户输入APT29生成的设备代码到登录页面。此举会授权攻击者控制的设备，最终使俄罗斯情报人员获得受害者微软账户和数据的完全访问权限。攻击采用base64编码隐藏恶意代码，并设置cookie防止同一用户重复重定向。

此次攻击是APT29组织自2024年10月以来的最新活动延续。据微软此前披露，类似攻击主要针对政府部门、非政府组织、学术界和国防机构。攻击者展现出持续演化能力，通过随机重定向和技术规避手段扩大情报收集范围。

AWS确认其系统未受感染，服务基础设施未受影响。该事件再次凸显国家支持型APT组织对云计算身份验证机制的持续利用，以及跨平台协同防御的重要性。