Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) APT28 FrostArmada-angrebskampagnen

APT28 FrostArmada-angrebskampagnen

Med Mezo i Advanced Persistent Threat (APT), Malware, Phishing
Oversæt til:

En sofistikeret cyberspionageoperation tilskrevet den Rusland-forbundne trusselsgruppe APT28, også kendt som Forest Blizzard, har udnyttet sårbar netværksinfrastruktur til at udføre storstilet overvågning. Kampagnen, der har været aktiv siden mindst maj 2025, har med kodenavnet FrostArmada fokuseret på at kompromittere usikre MikroTik- og TP-Link-routere og omdanne dem til ondsindede aktiver under angriberens kontrol.

Denne operation var primært rettet mod hjemme- og små kontorenheder (SOHO) og udnyttede svage konfigurationer til at manipulere DNS-indstillinger. Ved at gøre dette var angriberne i stand til at opfange og omdirigere netværkstrafik, hvilket muliggjorde passiv og stort set uopdagelig dataindsamling.

DNS-kapring: Forvandling af routere til lydløse overvågningsværktøjer

Kernen i kampagnen ligger i DNS-kapring, en teknik, der tillod angribere at omdirigere legitim trafik gennem ondsindet infrastruktur. Når en router var kompromitteret, blev dens DNS-indstillinger ændret til at pege på angriberkontrollerede servere. Denne manipulation muliggjorde aflytning af følsomme data uden at kræve nogen brugerinteraktion.

Når brugere forsøgte at få adgang til målrettede domæner, blev deres anmodninger lydløst omdirigeret til Attacker-in-the-Middle (AitM)-noder. Disse noder indsamlede godkendelsesdata, herunder loginoplysninger, og sendte dem tilbage til angriberne. Processen var meget hemmelig, hvilket gjorde det ekstremt vanskeligt at opdage dem.

Nedbrydning af angrebskæden: Fra udnyttelse til tyveri af legitimationsoplysninger

Angrebets livscyklus fulgte en struktureret sekvens designet til at maksimere dataindsamling og samtidig minimere detektion:

  • Indledende kompromittering af SOHO-routere gennem sårbarheder eller svage konfigurationer
  • Uautoriseret administrativ adgang og ændring af DNS-indstillinger
  • Omdirigering af DNS-forespørgsler til ondsindede, aktørkontrollerede resolvere
  • Opfangning af brugertrafik via AitM-infrastruktur
  • Indsamling og udtagning af legitimationsoplysninger, herunder adgangskoder og OAuth-tokens

Denne metode gjorde det muligt for angribere at overvåge loginforsøg til e-mailplatforme og webtjenester, herunder tilfælde, der involverede Microsoft Outlook på nettet og andre systemer, der ikke var hostet af Microsoft.

Global rækkevidde og strategisk målretning

Kampagnen udvidede sig betydeligt over tid. Selvom den begyndte i begrænset omfang i maj 2025, eskalerede den udbredte udnyttelsesindsats i begyndelsen af august. På sit højdepunkt i december 2025 blev mere end 18.000 unikke IP-adresser på tværs af mindst 120 lande observeret, der kommunikerede med angriberkontrolleret infrastruktur.

Primære mål inkluderet:

  • Statslige institutioner såsom udenrigsministerier og retshåndhævende myndigheder
  • Tredjepartsudbydere af e-mail og cloud-tjenester
  • Organisationer i Nordafrika, Mellemamerika, Sydøstasien og Europa

Mere end 200 organisationer og cirka 5.000 forbrugerenheder blev påvirket, hvilket viser omfanget og rækkevidden af operationen.

Udnyttede sårbarheder og infrastrukturtaktikker

Angriberne udnyttede kendte sårbarheder til at få adgang til netværksenheder. Især TP-Link WR841N-routere blev udnyttet ved hjælp af CVE-2023-50224, en fejl i forbindelse med godkendelsesomgåelse, der tillod udtrækning af legitimationsoplysninger via specielt udformede HTTP GET-anmodninger.

Derudover blev der identificeret en sekundær infrastrukturklynge, der er ansvarlig for at videresende DNS-trafik fra kompromitterede routere til eksterne angriberkontrollerede servere. Denne klynge udførte også målrettede, interaktive operationer mod udvalgte MikroTik-routere, især i Ukraine.

Avanceret spionage gennem kompromitteret Edge Device

Denne kampagne markerer en betydelig udvikling i APT28's operationelle taktikker. For første gang har gruppen demonstreret evnen til at udføre DNS-kapring i stor skala for at muliggøre AitM-angreb mod Transport Layer Security (TLS)-forbindelser.

Ved at kompromittere edge-enheder, der ofte er mindre overvågede end virksomhedssystemer, fik angribere upstream-indsigt i netværkstrafikken. Denne strategiske positionering gjorde det muligt for dem at identificere mål af høj værdi og selektivt fokusere på enkeltpersoner eller organisationer af efterretningsmæssig interesse.

Operationen vurderes at være opportunistisk af karakter, idet den i første omgang kaster et bredt net og gradvist indsnævrer mål baseret på værdien af de opfangede data.

Driftsforstyrrelser og løbende risici

Den ondsindede infrastruktur, der understøtter FrostArmada, er blevet afviklet gennem en koordineret indsats, der involverer det amerikanske justitsministerium, Federal Bureau of Investigation og internationale partnere. Trods denne forstyrrelse fremhæver de anvendte teknikker vedvarende risici forbundet med usikrede netværksenheder.

Selvom kampagnen primært har fokuseret på indsamling af efterretninger, udgør brugen af AitM-positionering bredere trusler. En sådan adgang kan muliggøre yderligere ondsindede aktiviteter, herunder implementering af malware eller denial-of-service-angreb, hvilket øger den potentielle indvirkning på målrettede organisationer betydeligt.

Konklusion: Et wake-up call for netværkssikkerhed

FrostArmada-kampagnen understreger den afgørende betydning af at sikre edge-enheder i netværksmiljøer. Udnyttelse af routere og DNS-infrastruktur giver angribere et effektivt og diskret overvågningsmiddel, der ofte omgår traditionelle sikkerhedskontroller.

Både organisationer og enkeltpersoner skal prioritere korrekt konfiguration, rettidig patching og løbende overvågning af netværksenheder for at afbøde de risici, som sådanne avancerede trusselsaktører udgør.

Trending

Mest sete

Indlæser...