أعلنت شركة أمازون أنها نجحت في رصد وتعطيل حملة Watering Hole نفذتها مجموعة APT29 المرتبطة بالاستخبارات الخارجية الروسية (SVR)، واستهدفت جمع بيانات حساسة عبر استغلال تدفق التحقق في Microsoft Device Code Authentication. وأوضحت الشركة أن المهاجمين اعتمدوا على مواقع إلكترونية شرعية تم اختراقها وزرعوا فيها شيفرات JavaScript خبيثة، بحيث يعاد توجيه ما يقارب 10% من الزوار إلى نطاقات خبيثة مثل findcloudflare[.]com التي صُممت لتبدو وكأنها صفحات تحقق من Cloudflare، ما أعطى الضحايا انطباع زائف بالمصداقية. الهدف النهائي كان إقناع المستخدمين بإدخال أكواد تحقق شرعية تم توليدها من قبل المهاجمين في صفحات تسجيل الدخول الخاصة بمايكروسوفت، مما يمنحهم وصول كامل إلى الحسابات والبيانات.
تطور تكتيكات APT29 وتدخل أمازون في تعطيل البنية التحتية للهجوم
تُعرف مجموعة APT29 أيضاً بأسماء عدة مثل Cozy Bear وBlueBravo وMidnight Blizzard، وسبق ربطها بهجمات معقدة استهدفت أوكرانيا وجهات حكومية عبر ملفات RDP خبيثة وتقنيات تصيّد متطورة. منذ بداية عام 2025، اعتمدت المجموعة على أساليب جديدة مثل Device Code Phishing وDevice Join Phishing لاختراق حسابات Microsoft 365، كما رُصد استخدامها ميزة كلمات المرور الخاصة بالتطبيقات في حسابات Google للوصول إلى بريد الضحايا. الحملة الأخيرة لفتت الانتباه لاستخدامها تقنيات إخفاء متقدمة مثل Base64 Encoding لإخفاء الأكواد الضارة، وتعيين ملفات تعريف الارتباط لمنع إعادة توجيه نفس المستخدم أكثر من مرة، إضافة إلى تبديل البنية التحتية بسرعة عند حظرها. وأكدت أمازون أن المهاجمين حاولوا الانتقال من خوادم AWS إلى مزودين آخرين، لكن فريقها واصل التتبع وتعطيل العمليات، حيث لوحظ لاحقاً تسجيل نطاقات إضافية مثل cloudflare.redirectpartners[.]com لمواصلة الهجمات.
