
기타
Amazon, 러시아 APT29의 워터링 홀 캠페인을 차단
두줄요약
Amazon이 러시아 APT29의 워터링 홀 캠페인을 식별하고 차단했습니다. 침해된 웹사이트 리디렉션과 디바이스 코드 인증 악용에 대비해 MFA와 모니터링 강화가 권장되었습니다.
핵심 내용
- Amazon 위협 인텔리전스 팀이 러시아 SVR 연계 APT29의 워터링 홀 캠페인을 식별하고 차단
- 침해된 정상 웹사이트에 악성 JavaScript를 주입해 일부 방문자를 공격자 제어 도메인으로 리디렉션
- Cloudflare 검증 페이지를 모방한 도메인으로 유도해 Microsoft 디바이스 코드 인증 플로우를 악용
구조와 흐름
- 초기에 난독화된 JavaScript 주입, 차단 시 서버 측 리디렉션으로 전환하는 방식으로 전술 변화
- base64 인코딩, 무작위 리디렉션, 쿠키 설정, 인프라 재배치 등 회피 기법 사용
성능/운영 포인트
- Amazon이 영향을 받은 EC2 인스턴스를 격리하고 도메인 차단 및 Microsoft와 정보 공유
- AWS 침해나 서비스 직접 영향은 관찰되지 않았음
적용해볼 점
- 의심스러운 리디렉션 체인과 기기 인증 요청의 진위 확인 필요
- MFA 활성화, 조건부 액세스 정책, 인증 이벤트 로깅과 모니터링 강화 필요
