목록 보기
Amazon, 러시아 APT29의 워터링 홀 캠페인을 차단
기타

Amazon, 러시아 APT29의 워터링 홀 캠페인을 차단

AWS
AWS
2025년 9월 30일

두줄요약

Amazon이 러시아 APT29의 워터링 홀 캠페인을 식별하고 차단했습니다. 침해된 웹사이트 리디렉션과 디바이스 코드 인증 악용에 대비해 MFA와 모니터링 강화가 권장되었습니다.

핵심 내용

  • Amazon 위협 인텔리전스 팀이 러시아 SVR 연계 APT29의 워터링 홀 캠페인을 식별하고 차단
  • 침해된 정상 웹사이트에 악성 JavaScript를 주입해 일부 방문자를 공격자 제어 도메인으로 리디렉션
  • Cloudflare 검증 페이지를 모방한 도메인으로 유도해 Microsoft 디바이스 코드 인증 플로우를 악용

구조와 흐름

  • 초기에 난독화된 JavaScript 주입, 차단 시 서버 측 리디렉션으로 전환하는 방식으로 전술 변화
  • base64 인코딩, 무작위 리디렉션, 쿠키 설정, 인프라 재배치 등 회피 기법 사용

성능/운영 포인트

  • Amazon이 영향을 받은 EC2 인스턴스를 격리하고 도메인 차단 및 Microsoft와 정보 공유
  • AWS 침해나 서비스 직접 영향은 관찰되지 않았음

적용해볼 점

  • 의심스러운 리디렉션 체인과 기기 인증 요청의 진위 확인 필요
  • MFA 활성화, 조건부 액세스 정책, 인증 이벤트 로깅과 모니터링 강화 필요

댓글 0

댓글을 작성하려면 로그인이 필요합니다.

댓글을 불러오는 중...