Amazon, 러시아 APT29의 워터링 홀 캠페인을 차단

핵심 요약

AWS의 보안팀은 러시아 APT29의 워터링 홀 캠페인을 식별하고 차단했으며, 신속한 인프라 차단과 업계 협력으로 피해 확산을 억제했고 AWS 인프라는 침해되지 않았습니다.

정상 웹사이트를 침해하고 방문자 약 10%를 공격자가 제어하는 도메인으로 리디렉션하는 JavaScript 주입과 난독화 기법을 식별하고 차단했습니다.
findcloudflare[.]com 등 공격자 모방 도메인을 Cloudflare 검증 페이지를 모방하는 방식으로 활용한 것을 알고, Cloudflare 및 다른 제공업체와 협력해 도메인을 차단했습니다.
영향받은 EC2 인스턴스를 격리하고 도메인 차단 및 정보를 Microsoft와 공유하는 등 신속한 차단 조치를 수행했으며, 공격자가 AWS에서 다른 클라우드 제공업체로 이동하려는 시도도 지속적으로 추적하고 차단했습니다.

위협 행위자의 전술은 지속적으로 진화하며, 정상 도메인을 침해하고 난독화된 JavaScript를 이용해 인프라를 신속히 재구성하는 경향이 확인됩니다.
업계 파트너 및 보안 커뮤니티와의 지속적 협력과 인텔리전스 공유가 위협 완화에 핵심적임을 확인했습니다.
자격 증명 수집과 정보 수집에 집중하는 캠페인 특성상, 초기 차단뿐 아니라 장기적인 모니터링과 인프라 재구성 관리가 중요합니다.

핵심 요약

주요 경험

정상 웹사이트를 침해하고 방문자 약 10%를 공격자가 제어하는 도메인으로 리디렉션하는 JavaScript 주입과 난독화 기법을 식별하고 차단했습니다.

findcloudflare[.]com 등 공격자 모방 도메인을 Cloudflare 검증 페이지를 모방하는 방식으로 활용한 것을 알고, Cloudflare 및 다른 제공업체와 협력해 도메인을 차단했습니다.

영향받은 EC2 인스턴스를 격리하고 도메인 차단 및 정보를 Microsoft와 공유하는 등 신속한 차단 조치를 수행했으며, 공격자가 AWS에서 다른 클라우드 제공업체로 이동하려는 시도도 지속적으로 추적하고 차단했습니다.

얻은 인사이트

위협 행위자의 전술은 지속적으로 진화하며, 정상 도메인을 침해하고 난독화된 JavaScript를 이용해 인프라를 신속히 재구성하는 경향이 확인됩니다.

업계 파트너 및 보안 커뮤니티와의 지속적 협력과 인텔리전스 공유가 위협 완화에 핵심적임을 확인했습니다.

자격 증명 수집과 정보 수집에 집중하는 캠페인 특성상, 초기 차단뿐 아니라 장기적인 모니터링과 인프라 재구성 관리가 중요합니다.