APT28綁架SOHO路由器設備,將受害者導向AiTM基礎設施
攻擊手法與目標
俄羅斯駭客APT28(Sofacy Group、Forest Blizzard、Fancy Bear)透過滲透SOHO裝置,從事DNS挾持活動,將受害者導向對手中間人攻擊(AiTM)的基礎設施。此舉主要目的是協助俄羅斯當局收集外國情報。
攻擊技術與影響範圍
- 駭客利用路由器的DNS組態,將受害者導向AiTM基礎設施,從而進行網釣攻擊。
- 攻擊活動中,逾200家企業受害,主要受影響的設備廠牌為TP-Link。
- 微軟指出,這是他們首度觀察到APT28利用邊緣設備與DNS挾持技術來從事網釣的情況。
資料收集內容
透過對手中間人攻擊,駭客能擷取受害者帳號的密碼、OAuth權杖(Token)以及其他敏感憑證資料。
國際反應
德國聯邦政府與捷克外交部發布公告,指出APT28利用Outlook漏洞對企業組織下手,並引發歐盟、北約組織及美國的聯合譴責。美國亦針對APT28展開執法行動,破壞其架設的殭屍網路。