Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) APT28 FrostArmada attackkampanj

APT28 FrostArmada attackkampanj

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara, Nätfiske
Översätt till:

En sofistikerad cyberspionageoperation som tillskrivs den Rysslandskopplade hotgruppen APT28, även känd som Forest Blizzard, har utnyttjat sårbar nätverksinfrastruktur för att genomföra storskalig övervakning. Kampanjen, med kodnamnet FrostArmada, har varit aktiv sedan åtminstone maj 2025 och fokuserade på att kompromettera osäkra MikroTik- och TP-Link-routrar och omvandla dem till skadliga tillgångar under angriparens kontroll.

Denna operation riktade sig främst mot enheter i hemmet och små kontor (SOHO) och utnyttjade svaga konfigurationer för att manipulera DNS-inställningar. Genom att göra det kunde angriparna fånga upp och omdirigera nätverkstrafik, vilket möjliggjorde passiv och i stort sett oupptäckbar datainsamling.

DNS-kapning: Förvandla routrar till tysta övervakningsverktyg

Kärnan i kampanjen ligger DNS-kapning, en teknik som gjorde det möjligt för angripare att omdirigera legitim trafik genom skadlig infrastruktur. När en router komprometterades ändrades dess DNS-inställningar för att peka på angriparkontrollerade servrar. Denna manipulation möjliggjorde avlyssning av känslig data utan att kräva någon användarinteraktion.

När användare försökte komma åt utvalda domäner omdirigerades deras förfrågningar i tysthet till AitM-noder (Angripare i Mellaninsidan). Dessa noder samlade in autentiseringsdata, inklusive inloggningsuppgifter, och skickade tillbaka den till angriparna. Processen var mycket hemlig, vilket gjorde upptäckt extremt svårt.

Nedbrytning av attackkedjan: Från utnyttjande till stöld av autentiseringsuppgifter

Attackens livscykel följde en strukturerad sekvens utformad för att maximera datainsamlingen samtidigt som detekteringen minimerades:

  • Initial kompromiss med SOHO-routrar genom sårbarheter eller svaga konfigurationer
  • Obehörig administrativ åtkomst och ändring av DNS-inställningar
  • Omdirigering av DNS-frågor till skadliga, aktörsstyrda resolvers
  • Avlyssning av användartrafik via AitM-infrastruktur
  • Insamling och utvinning av inloggningsuppgifter, inklusive lösenord och OAuth-tokens

Den här metoden gjorde det möjligt för angripare att övervaka inloggningsförsök till e-postplattformar och webbtjänster, inklusive instanser som involverade Microsoft Outlook på webben och andra system som inte tillhör Microsoft.

Global räckvidd och strategisk inriktning

Kampanjen expanderade avsevärt med tiden. Även om den började i begränsad omfattning i maj 2025, eskalerade de omfattande utnyttjandeinsatserna i början av augusti. Som mest i december 2025 observerades mer än 18 000 unika IP-adresser i minst 120 länder kommunicera med angriparkontrollerad infrastruktur.

Primära mål inkluderade:

  • Statliga institutioner såsom utrikesministerier och brottsbekämpande myndigheter
  • Tredjepartsleverantörer av e-post och molntjänster
  • Organisationer i Nordafrika, Centralamerika, Sydostasien och Europa

Mer än 200 organisationer och cirka 5 000 konsumentenheter påverkades, vilket visar verksamhetens omfattning och omfattning.

Utnyttjade sårbarheter och infrastrukturtaktiker

Angriparna utnyttjade kända sårbarheter för att få åtkomst till nätverksenheter. Framför allt utnyttjades TP-Link WR841N-routrar med hjälp av CVE-2023-50224, en autentiseringsförbikopplingsbrist som möjliggjorde extrahering av autentiseringsuppgifter via specialutformade HTTP GET-förfrågningar.

Dessutom identifierades ett sekundärt infrastrukturkluster, som ansvarar för att vidarebefordra DNS-trafik från komprometterade routrar till fjärrstyrda servrar. Detta kluster utförde också riktade, interaktiva operationer mot utvalda MikroTik-routrar, särskilt i Ukraina.

Avancerad spionage genom kompromisser med Edge Device

Denna kampanj markerar en betydande utveckling i APT28:s operativa taktik. För första gången har gruppen visat förmågan att utföra DNS-kapning i stor skala för att underlätta AitM-attacker mot Transport Layer Security (TLS)-anslutningar.

Genom att kompromettera edge-enheter, ofta mindre övervakade än företagssystem, fick angripare insyn i nätverkstrafiken uppströms. Denna strategiska positionering gjorde det möjligt för dem att identifiera värdefulla mål och selektivt fokusera på individer eller organisationer av underrättelseintresse.

Operationen bedöms vara opportunistisk till sin natur, och kastar inledningsvis ett brett nät och begränsar gradvis målen baserat på värdet av avlyssnad data.

Driftsstörningar och pågående risker

Den skadliga infrastrukturen som stöder FrostArmada har avvecklats genom en samordnad insats som involverar det amerikanska justitiedepartementet, Federal Bureau of Investigation och internationella partners. Trots denna störning belyser de tekniker som används ihållande risker förknippade med osäkra nätverksenheter.

Även om kampanjen främst har fokuserat på underrättelseinsamling, utgör användningen av AitM-positionering bredare hot. Sådan åtkomst kan möjliggöra ytterligare skadlig verksamhet, inklusive distribution av skadlig kod eller överbelastningsattacker, vilket avsevärt ökar den potentiella effekten på berörda organisationer.

Slutsats: En väckarklocka för nätverkssäkerhet

FrostArmada-kampanjen understryker den avgörande vikten av att säkra edge-enheter i nätverksmiljöer. Utnyttjande av routrar och DNS-infrastruktur ger angripare ett kraftfullt och smygande övervakningsmedel, ofta kringgående av traditionella säkerhetskontroller.

Både organisationer och individer måste prioritera korrekt konfiguration, snabba patchar och kontinuerlig övervakning av nätverksenheter för att minska riskerna som sådana avancerade hotaktörer utgör.

Trendigt

Mest sedda

Läser in...