Multi-License Discount Quote
Banta sa Database Advanced Persistent Threat (APT) Kampanya ng Pag-atake ng APT28 FrostArmada

Kampanya ng Pag-atake ng APT28 FrostArmada

Sa pamamagitan ng Mezo sa Advanced Persistent Threat (APT), Malware, Phishing
Isalin To:

Isang sopistikadong operasyon ng cyber espionage na iniuugnay sa grupong banta na may kaugnayan sa Russia na APT28, na kilala rin bilang Forest Blizzard, ang gumamit ng mga mahihinang imprastraktura ng network upang magsagawa ng malawakang pagmamatyag. Aktibo simula noong Mayo 2025, ang kampanya, na may codename na FrostArmada, ay nakatuon sa pagkompromiso sa mga hindi secure na MikroTik at TP-Link router, na ginagawang mga malisyosong asset ang mga ito sa ilalim ng kontrol ng mga umaatake.

Pangunahing tinarget ng operasyong ito ang mga home at small office (SOHO) device, gamit ang mahihinang configuration para manipulahin ang mga setting ng DNS. Sa paggawa nito, nagawang maharang at i-redirect ng mga attacker ang trapiko sa network, na nagbigay-daan sa pasibo at halos hindi matukoy na pangongolekta ng data.

Pag-hijack ng DNS: Paggawa ng mga Router bilang mga Silent Surveillance Tool

Sa kaibuturan ng kampanya ay nakasalalay ang DNS hijacking, isang pamamaraan na nagpapahintulot sa mga umaatake na ilipat ang lehitimong trapiko sa pamamagitan ng malisyosong imprastraktura. Kapag nakompromiso ang isang router, binabago ang mga setting ng DNS nito upang tumuro sa mga server na kontrolado ng umaatake. Ang manipulasyong ito ay nagbigay-daan sa pagharang ng sensitibong data nang hindi nangangailangan ng anumang pakikipag-ugnayan ng user.

Kapag tinangka ng mga user na i-access ang mga target na domain, ang kanilang mga kahilingan ay tahimik na inire-redirect sa mga Attacker-in-the-Middle (AitM) node. Kinukuha ng mga node na ito ang data ng pagpapatotoo, kabilang ang mga kredensyal sa pag-login, at ipinapadala ito pabalik sa mga attacker. Ang proseso ay lubos na palihim, kaya napakahirap ng pagtukoy.

Pagsira ng Kadena ng Pag-atake: Mula sa Pagsasamantala Hanggang sa Pagnanakaw ng Kredensyal

Ang siklo ng buhay ng pag-atake ay sumunod sa isang nakabalangkas na pagkakasunud-sunod na idinisenyo upang mapakinabangan ang pagkolekta ng datos habang binabawasan ang pagtuklas:

  • Paunang kompromiso ng mga SOHO router dahil sa mga kahinaan o mahinang configuration
  • Hindi awtorisadong administratibong pag-access at pagbabago ng mga setting ng DNS
  • Pag-redirect ng mga DNS query sa mga malisyosong, actor-controlled resolver
  • Pagharang sa trapiko ng gumagamit sa pamamagitan ng imprastraktura ng AitM
  • Pag-aani at pag-exfiltrate ng mga kredensyal, kabilang ang mga password at OAuth token

Dahil sa pamamaraang ito, nasubaybayan ng mga attacker ang mga pagtatangkang mag-login sa mga platform ng email at mga serbisyo sa web, kabilang ang mga pagkakataong kinasasangkutan ng Microsoft Outlook sa web at iba pang mga sistemang hindi naka-host sa Microsoft.

Pandaigdigang Pag-abot at Istratehikong Pag-target

Lumawak nang malaki ang kampanya sa paglipas ng panahon. Bagama't nagsimula ito sa limitadong kapasidad noong Mayo 2025, ang malawakang pagsisikap sa pagsasamantala ay tumindi pagsapit ng unang bahagi ng Agosto. Sa kasagsagan nito noong Disyembre 2025, mahigit sa 18,000 natatanging IP address sa hindi bababa sa 120 bansa ang naobserbahang nakikipag-ugnayan sa imprastrakturang kontrolado ng mga umaatake.

Kasama sa mga pangunahing target:

  • Mga institusyon ng gobyerno tulad ng mga ministeryo ng ugnayang panlabas at mga ahensya ng pagpapatupad ng batas
  • Mga third-party na email at cloud service provider
  • Mga organisasyon sa buong Hilagang Aprika, Gitnang Amerika, Timog-silangang Asya, at Europa

Mahigit 200 organisasyon at humigit-kumulang 5,000 device ng mga mamimili ang naapektuhan, na nagpapakita ng lawak at abot ng operasyon.

Mga Pinagsasamantalang Kahinaan at Taktika sa Imprastraktura

Ginamit ng mga umaatake ang mga kilalang kahinaan upang makakuha ng access sa mga network device. Kapansin-pansin, ang mga TP-Link WR841N router ay sinamantala gamit ang CVE-2023-50224, isang depekto sa pag-bypass ng authentication na nagpapahintulot sa pagkuha ng kredensyal sa pamamagitan ng mga espesyal na ginawang HTTP GET request.

Bukod pa rito, isang pangalawang kumpol ng imprastraktura ang natukoy, na responsable sa pagpapadala ng trapiko ng DNS mula sa mga nakompromisong router patungo sa mga remote attacker-controlled server. Nagsagawa rin ang kumpol na ito ng mga naka-target at interactive na operasyon laban sa piling mga MikroTik router, lalo na sa Ukraine.

Advanced Espionage Gamit ang Edge Device Compromise

Ang kampanyang ito ay nagmamarka ng isang mahalagang ebolusyon sa mga taktika sa operasyon ng APT28. Sa unang pagkakataon, naipakita ng grupo ang kakayahang magsagawa ng DNS hijacking nang malawakan upang mapadali ang mga pag-atake ng AitM laban sa mga koneksyon ng Transport Layer Security (TLS).

Sa pamamagitan ng pagkompromiso sa mga edge device, na kadalasang hindi gaanong minomonitor kumpara sa mga enterprise system, nagkaroon ng upstream visibility ang mga attacker sa trapiko ng network. Ang estratehikong pagpoposisyong ito ay nagbigay-daan sa kanila na matukoy ang mga target na may mataas na halaga at mapiling tumuon sa mga indibidwal o organisasyong may interes sa intelligence.

Ang operasyon ay tinatayang oportunistiko ang katangian, na sa simula ay naglalatag ng malawak na lambat at unti-unting nagpapaliit ng mga target batay sa halaga ng naharang na datos.

Pagkagambala sa Operasyon at Patuloy na mga Panganib

Ang malisyosong imprastraktura na sumusuporta sa FrostArmada ay nawasak sa pamamagitan ng isang koordinadong pagsisikap na kinasasangkutan ng Kagawaran ng Hustisya ng Estados Unidos, ng Federal Bureau of Investigation, at mga internasyonal na kasosyo. Sa kabila ng pagkagambalang ito, ang mga pamamaraang ginamit ay nagtatampok ng mga patuloy na panganib na nauugnay sa mga hindi secure na device sa network.

Bagama't pangunahing nakatuon ang kampanya sa pangangalap ng impormasyon, ang paggamit ng AitM positioning ay nagpapakita ng mas malawak na mga banta. Ang ganitong pag-access ay maaaring magdulot ng karagdagang mga malisyosong aktibidad, kabilang ang pag-deploy ng malware o mga pag-atake ng denial-of-service, na lubos na nagpapataas ng potensyal na epekto sa mga target na organisasyon.

Konklusyon: Isang Panawagan para sa Seguridad ng Network

Binibigyang-diin ng kampanyang FrostArmada ang kritikal na kahalagahan ng pag-secure ng mga edge device sa loob ng mga network environment. Ang paggamit ng mga router at DNS infrastructure ay nagbibigay sa mga attacker ng isang makapangyarihan at palihim na paraan ng pagmamatyag, na kadalasang nilalampasan ang mga tradisyunal na kontrol sa seguridad.

Dapat unahin ng mga organisasyon at indibidwal ang wastong configuration, napapanahong patching, at patuloy na pagsubaybay sa mga network device upang mabawasan ang mga panganib na dulot ng mga naturang advanced threat actors.

Trending

Pinaka Nanood

Naglo-load...