Amazon Bilgi Güvenliği Müdürü CJ Moses’in açıklamasına göre, APT29 tarafından yürütülen su damlacığı kampanyasında, saldırganlar ele geçirdikleri meşru web sitelerine kötü amaçlı altyapı yerleştirerek ziyaretçileri Microsoft’un cihaz kodu kimlik doğrulama akışına yönlendirmeye çalıştı.

APT29 ve Tehdit Aktörünün Profili

Rusya’nın Dış İstihbarat Servisi (SVR) ile bağlantılı devlet destekli hacker grubu APT29, BlueBravo, Cozy Bear gibi isimlerle de anılmaktadır. Son dönemde, özellikle Ukraynalı hedeflere yönelik kötü amaçlı Uzak Masaüstü Protokolü (RDP) yapılandırma dosyaları kullanarak saldırılar düzenlediği ve hassas verileri sızdırdığı tespit edilmiştir.

Kimlik Doğrulama Oltalama Teknikleri

2025 başından itibaren grup, Microsoft 365 hesaplarına yetkisiz erişim sağlamak için cihaz kodu oltalama ve cihaz katılımı oltalama yöntemlerini kullanmaktadır. Haziran 2025’te Google, APT29 bağlantılı UNC6293 grubunun uygulama özel şifreleri kötüye kullanarak e-posta erişimi sağladığını raporlamıştır.

Kampanyanın Teknik Detayları ve Kaçınma Yöntemleri

Amazon’un tehdit istihbarat ekibi, saldırganların kimlik bilgisi toplama ve istihbarat elde etme faaliyetlerini sürdürdüğünü ve tekniklerini geliştirdiğini belirtti. Saldırılar, JavaScript enjeksiyonu ile ziyaretçilerin yaklaşık %10’unu Cloudflare doğrulama sayfalarını taklit eden aktör kontrolündeki alan adlarına yönlendirmeyi içeriyordu. Kampanyada Base64 kodlama, çerez ayarlama ve altyapı değiştirme gibi kaçınma teknikleri kullanıldı.

Amazon’un Müdahalesi ve Gözlemler

Amazon, ele geçirilen web sitelerinin sayısı ve hacklenme yöntemleri hakkında detay vermedi ancak kullanılan alan adlarının daha önce APT29 ile ilişkilendirilen altyapılarla bağlantılı olduğunu doğruladı. Moses, aktörün AWS dışındaki bulut sağlayıcılarına geçiş çabalarına rağmen operasyonların izlenip engellendiğini ve yeni alan adlarıyla benzer saldırıların devam ettiğini ifade etti.