APT28從事網釣攻擊活動FrostArmada,藉由路由器DNS組態將受害者導向AiTM基礎設施
攻擊手法與背景
美國與英國合作揭露,駭客組織APT28(亦稱Sofacy Group、Forest Blizzard、Fancy Bear)透過惡意設定路由器DNS組態,將受害者導向對手的中間人攻擊(AiTM)基礎設施。此手法被用於執行網釣攻擊,以竊取目標組織的帳密資料、權杖(Token)及其他敏感資訊。
攻擊範圍與影響
根據資料顯示,APT28的攻擊行動主要針對全球範圍內的SOHO路由器,其中大部分為TP-Link品牌設備,且部分設備部署於政府機構與關鍵基礎設施中。此類攻擊行動被認為是針對特定國家與組織的長期滲透策略。
相關技術與案例
- APT28曾於2021年利用思科路由器的SNMP漏洞,假冒設備進行遠端存取,影響歐洲與美國政府組織。
- 近年來,APT28透過電子郵件系統的XSS漏洞,執行魚叉式網釣攻擊,鎖定政府機關以竊取重要資料。
- 攻擊者將路由器組成殭屍網路,不僅用於DDoS攻擊,更被用於規劃複雜的中間人攻擊行動,引導受害者至惡意基礎設施。
防禦建議
專家建議,應將Wi-Fi無線分享器等網路基礎設備納入資訊資產盤點與資安管理範疇,定期檢視並更新韌體與安全設定,停用不必要之遠端管理功能,並強化帳密管理。