🔍 安全洞察
俄罗斯军事情报部门APT28再度出手,这次瞄准的是生命周期已尽的SOHO路由器。攻击者无需部署任何恶意软件,仅通过篡改DNS设置即可窃取OAuth认证令牌。这种”无恶意软件”的攻击方式对企业安全防护提出了新的挑战:传统终端防护已无法覆盖此类攻击路径,企业需加强对网络基础设施的实时监控,尤其是对DNS配置变更的审计。
📰 原文内容
据安全研究人员披露,与俄罗斯军事情报部门(GRU)有关联的黑客组织正在利用旧版互联网路由器中的已知漏洞,大规模窃取Microsoft Office用户的认证令牌。这场间谍活动使得俄罗斯国家支持的黑客能够悄悄地从超过18,000个网络的用户那里收集认证令牌,而无需部署任何恶意软件或代码。
微软表示,在一次公开博客文章中提到,他们发现超过200个组织和5,000个消费者设备受到了这个由”Forest Blizzard”(也称为APT28、Fancy Bear)建立的隐秘监控网络的攻击。
Lumen安全部门Black Lotus Labs的研究人员发现,在2025年12月活动高峰期,Forest Blizzard的监控网络覆盖了超过18,000台互联网路由器,这些路由器大多是无支持的、已停止更新的设备,或者是安全更新滞后的设备。
Black Lotus Security安全工程师Ryan English表示,GRU黑客无需在被攻击的路由器上安装恶意软件,这些设备主要是面向小型办公室/家庭办公室(SOHO)市场的旧版Mikrotik和TP-Link设备。相反,他们利用已知漏洞修改路由器的域名系统(DNS)设置,以包含由黑客控制的DNS服务器。
英国国家网络安全中心(NCSC)在一份新报告中详细说明了俄罗斯网络行为者如何利用这一方法,DNS允许用户通过输入熟悉的地址而非IP地址来访问网站。在DNS劫持攻击中,不良行为者干扰这一过程,秘密将用户发送到旨在窃取登录凭证或其他敏感信息的恶意网站。
English表示,Forest Blizzard攻击的路由器被重新配置为使用攻击者控制的DNS服务器。重要的是,攻击者能够将其恶意DNS设置传播到本地网络上的所有用户,从而拦截这些用户传输的任何OAuth认证令牌。
⚠️ 声明
本文内容翻译整理自Krebs on Security。文章观点及信息来源均为原作者提供,本平台仅进行传播,如需删除请联系我们。
💬 互动引导
您如何看待这种”无恶意软件”的攻击方式?您的企业是否对DNS配置变更有实时监控?欢迎在评论区分享您的观点!
如果您觉得这篇文章有价值,欢迎转发给更多的安全从业者。
