Amazon interrompe campanha de phishing ligada ao APT29 da Rússia

BR Defense Center (By River de Morais e Silva)
phishing

No dia 29 de agosto de 2025, a Amazon anunciou a interrupção de uma campanha de phishing conhecida como “watering hole”, atribuída ao grupo de hackers APT29, vinculado à inteligência russa. Essa campanha utilizou sites comprometidos para redirecionar visitantes a uma infraestrutura maliciosa, enganando usuários a autorizarem dispositivos controlados pelos atacantes através do fluxo de autenticação de código de dispositivo da Microsoft. APT29, também conhecido como Cozy Bear, tem sido ativo em ataques direcionados a entidades ucranianas e na coleta de dados sensíveis. Recentemente, o grupo adotou métodos de phishing, como o phishing de código de dispositivo, para obter acesso não autorizado a contas do Microsoft 365. A campanha da Amazon destacou a evolução das táticas do APT29, que agora inclui técnicas de evasão, como a codificação Base64 para ocultar código malicioso. Apesar das tentativas do grupo de mudar para novas infraestruturas, a equipe de inteligência da Amazon continuou a rastrear e interromper suas operações, evidenciando a persistência da ameaça. O ataque redirecionou cerca de 10% dos visitantes de sites legítimos para domínios controlados pelos atacantes, que imitavam páginas de verificação da Cloudflare, visando coletar códigos de dispositivo legítimos dos usuários.

Fonte: https://thehackernews.com/2025/08/amazon-disrupts-apt29-watering-hole.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
29/08/2025 • Risco: ALTO
PHISHING

Amazon interrompe campanha de phishing ligada ao APT29 da Rússia

RESUMO EXECUTIVO
O APT29 continua a ser uma ameaça significativa, utilizando técnicas sofisticadas para comprometer contas do Microsoft 365. A evolução das táticas de phishing requer atenção constante e ações proativas para proteger dados sensíveis e garantir conformidade legal.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e custos de mitigação.
Operacional
Acesso não autorizado a contas do Microsoft 365 e coleta de dados sensíveis.
Setores vulneráveis
['Setor financeiro', 'tecnologia da informação', 'educação']

📊 INDICADORES CHAVE

Cerca de 10% dos visitantes de sites comprometidos foram redirecionados. Indicador
Vários domínios foram registrados pelos atacantes após bloqueios. Contexto BR
O grupo APT29 tem sido vinculado a ataques a entidades ucranianas. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e autenticação de contas do Microsoft 365 em busca de atividades suspeitas.
2 Implementar autenticação multifator (MFA) para todas as contas de usuários.
3 Monitorar continuamente tentativas de phishing e redirecionamentos de sites legítimos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das táticas de phishing e a possibilidade de compromissos de dados sensíveis, especialmente em plataformas amplamente utilizadas como o Microsoft 365.

⚖️ COMPLIANCE

Implicações diretas na LGPD, especialmente em relação à proteção de dados pessoais.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).