近日,安全研究人员披露,俄罗斯国家级黑客组织 APT28(也称 Fancy Bear、Sednit)正在利用旧款路由器中未修补的安全漏洞,窃取微软 Office 用户的认证令牌(authentication token),以此绕过多因素认证(MFA)实现横向移动。
这项攻击活动利用了 Cisco、Juniper 和 Fortinet 等厂商老旧路由器产品中的已知漏洞。攻击者通过植入定制化恶意固件,在用户登录 Microsoft 365(Office)时截获其身份验证令牌。由于令牌可在有效期内重复使用,攻击者得以在不使用密码的情况下维持对目标账户的长期访问。
攻击手法分析
研究人员将此攻击活动命名为”Volt Typhoon”的继任行动,但其技术特征有所不同。APT28 此次采用了” living off the land”(LoTL)策略,即尽可能利用合法工具和系统自带功能,避免使用定制恶意软件,以降低被检测的风险。
具体攻击链如下:
- 利用 CVE-2017-6744、CVE-2018-0179 等老旧漏洞入侵目标网络边缘路由器
- 在路由器上部署持久化后门,截获流经设备的 HTTP 流量
- 提取微软 Office 认证流程中的 Web 令牌(Web Token)和刷新令牌(Refresh Token)
- 使用窃取的令牌登录 Microsoft 365 门户,访问 Outlook 邮件、SharePoint 文件和 Teams 聊天记录
- 在云环境中建立持久化据点,为后续数据窃取或间谍活动做准备
值得注意的是,APT28 此次并未直接攻击 Microsoft 的 Identity Provider(身份提供商),而是在客户端侧截获令牌,这使得传统基于云的安全检测工具难以发现异常。
影响范围与目标画像
根据安全公司的遥测数据,受影响的目标主要集中在以下领域:
- 政府机构:尤其是国防和外交部门
- 关键基础设施:能源、交通、通信行业
- 科技企业:云服务提供商和软件开发商
- 学术研究机构:参与敏感研究的大学和实验室
欧洲和北美是此次攻击的重灾区,但包括中国在内的亚太地区也有零星受害案例。安全研究人员估计,受影响的 Office 账户数量可能达到数千个。
技术溯源与归因
此次攻击的归因主要基于以下技术证据链:
- 恶意固件与 APT28 此前使用的 Koadic 和 SPLINT 工具存在代码重叠
- C2(命令与控制)基础设施与 APT28 历史上使用的 GAMEDAY 和 ZAROCES 框架有关联
- 攻击时间窗口与俄罗斯时区吻合,且目标选择符合俄罗斯国家利益
- 战术、技术和流程(TTP)与 MITRE ATT&CK 框架中 APT28 的档案高度一致
应对建议
针对企业用户:
- 立即审查 Microsoft 365 的异常登录日志,重点关注非标准设备的访问记录
- 启用 Microsoft Entra ID(Azure AD)中的条件访问策略,限制可信网络以外的令牌使用
- 对路由器和网络边缘设备进行固件升级,修复已知漏洞
- 部署网络流量分析工具,检测路由器上的异常出站连接
- 启用 Microsoft Defender for Office 365 的 Token Theft 检测功能
针对个人用户:
- 定期检查 Office 账户的”最近活动”页面,确认无异常登录
- 启用 Microsoft Authenticator 等基于应用的多因素认证,而非短信验证
- 避免在公共网络环境下使用 Office 365 进行身份验证
- 如发现可疑活动,立即吊销所有活动会话并重置密码
此次 APT28 的攻击活动再次证明,在国家级黑客面前,传统基于密码和多因素认证的防御已远远不够。组织需要转向零信任架构(Zero Trust Architecture),对每次访问请求都进行动态验证。
来源:综合自 The Hacker News、BleepingComputer、Dark Reading 相关报道 · 作者:点小安 · 首发于 www.dripsafe.cn
