🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaça ligado à Rússia, conhecido como APT28 (também conhecido como Forest Blizzard), foi vinculado a uma nova campanha que comprometeu roteadores inseguros MikroTik e TP-Link e modificou suas configurações para transformá-los em infraestrutura maliciosa sob seu controle como parte de uma campanha de espionagem cibernética desde pelo menos maio de 2025.
A campanha de exploração em grande escala foi batizada de FrostArmada pelo Black Lotus Labs da Lumen, com a Microsoft descrevendo-a como um esforço para explorar dispositivos vulneráveis de Internet domésticos e de pequenos escritórios (SOHO) para sequestrar o tráfego DNS e permitir a coleta passiva de dados da rede.
"A técnica deles modificou as configurações de DNS em roteadores comprometidos para sequestrar o tráfego da rede local e capturar e exfiltrar credenciais de autenticação", disse o Black Lotus Labs em um relatório compartilhado com o The Hacker News.
"Quando domínios direcionados eram solicitados por um usuário, o ator redirecionava o tráfego para um nó do invasor intermediário (AitM), onde essas credenciais eram coletadas e exfiltradas. Essa abordagem permitiu um ataque quase invisível que não exigiu interação do usuário final."
A infraestrutura associada à campanha foi interrompida e colocada off-line como parte de uma operação conjunta em colaboração com o Departamento de Justiça dos EUA, o Federal Bureau of Investigation e outros parceiros internacionais.
Estima-se que a atividade tenha começado já em maio de 2025 em uma capacidade limitada, seguida pela exploração generalizada de roteadores e redirecionamento de DNS com início no início de agosto. No seu pico, em dezembro de 2025, foram encontrados mais de 18.000 endereços IP exclusivos de nada menos que 120 países comunicando-se com a infraestrutura APT28.
Estes esforços destacaram principalmente agências governamentais, como ministérios dos Negócios Estrangeiros, autoridades responsáveis pela aplicação da lei e fornecedores terceiros de serviços de correio eletrónico e de nuvem em países do Norte de África, da América Central, do Sudeste Asiático e da Europa.
A equipe do Microsoft Threat Intelligence, em sua análise da campanha, atribuiu a atividade ao APT28 e seu subgrupo rastreado como Storm-2754. A gigante da tecnologia disse ter identificado mais de 200 organizações e 5.000 dispositivos de consumo afetados pela infraestrutura DNS maliciosa do agente da ameaça.
“Para atores estatais como a Forest Blizzard, o sequestro de DNS permite visibilidade persistente e passiva e reconhecimento em escala”, disse Redmond. “Ao comprometer dispositivos de ponta que estão a montante de alvos maiores, os agentes de ameaças podem tirar vantagem de ativos menos monitorados ou gerenciados para migrar para ambientes corporativos”.
A atividade de sequestro de DNS também facilitou ataques AitM que tornaram possível facilitar o roubo de senhas, tokens OAuth e outras credenciais para serviços relacionados à Web e a e-mail, colocando as organizações em risco de um comprometimento mais amplo.
O desenvolvimento marca a primeira vez que o coletivo adversário foi observado usando sequestro de DNS em escala para oferecer suporte a conexões AiTM de Transport Layer Security (TLS) após explorar dispositivos de borda, acrescentou a Microsoft.
Em alto nível, a cadeia de ataque envolve o APT28 obtendo acesso administrativo remoto a dispositivos SOHO e alterando as configurações de rede padrão para usar resolvedores DNS sob seu controle. A reconfiguração maliciosa faz com que os dispositivos enviem solicitações de DNS para servidores controlados por atores.
Isso, por sua vez, faz com que as pesquisas de DNS para aplicativos de e-mail ou páginas de login sejam resolvidas pelo servidor DNS malicioso. O ator da ameaça então tenta conduzir ataques AitM contra essas conexões para roubar credenciais de contas de usuários, enganando as vítimas para que se conectem a uma infraestrutura maliciosa.
Alguns desses domínios estão associados ao Microsoft Outlook na web. A Microsoft disse que também identificou atividades de AitM direcionadas a servidores não hospedados pela Microsoft em pelo menos três organizações governamentais na África.
"Acredita-se que as operações de sequestro de DNS são de natureza oportunista, com o ator ganhando visibilidade de um grande grupo de possíveis usuários-alvo e, em seguida, filtrando os usuários em cada estágio da cadeia de exploração para fazer a triagem de vítimas de provável valor de inteligência", disse o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC).
Diz-se que o APT28 explorou roteadores TP-Link WR841N para suas operações de envenenamento de DNS, provavelmente aproveitando o CVE-2023-50224 (pontuação CVSS: 6,5), uma vulnerabilidade de desvio de autenticação que poderia ser usada para extrair credenciais armazenadas por meio de solicitações HTTP GET especialmente criadas.
Descobriu-se que um segundo cluster de servidores recebe solicitações de DNS por meio de roteadores comprometidos e, posteriormente, as encaminha para servidores remotos de propriedade de atores. Este cluster também está avaliado como envolvido em operações interativas visando um pequeno número de roteadores MikroTik localizados na Ucrânia.
"O sequestro de DNS e a atividade AitM da Forest Blizzard permitem que o ator conduza a coleta de DNS em organizações confidenciais
A campanha de exploração em grande escala foi batizada de FrostArmada pelo Black Lotus Labs da Lumen, com a Microsoft descrevendo-a como um esforço para explorar dispositivos vulneráveis de Internet domésticos e de pequenos escritórios (SOHO) para sequestrar o tráfego DNS e permitir a coleta passiva de dados da rede.
"A técnica deles modificou as configurações de DNS em roteadores comprometidos para sequestrar o tráfego da rede local e capturar e exfiltrar credenciais de autenticação", disse o Black Lotus Labs em um relatório compartilhado com o The Hacker News.
"Quando domínios direcionados eram solicitados por um usuário, o ator redirecionava o tráfego para um nó do invasor intermediário (AitM), onde essas credenciais eram coletadas e exfiltradas. Essa abordagem permitiu um ataque quase invisível que não exigiu interação do usuário final."
A infraestrutura associada à campanha foi interrompida e colocada off-line como parte de uma operação conjunta em colaboração com o Departamento de Justiça dos EUA, o Federal Bureau of Investigation e outros parceiros internacionais.
Estima-se que a atividade tenha começado já em maio de 2025 em uma capacidade limitada, seguida pela exploração generalizada de roteadores e redirecionamento de DNS com início no início de agosto. No seu pico, em dezembro de 2025, foram encontrados mais de 18.000 endereços IP exclusivos de nada menos que 120 países comunicando-se com a infraestrutura APT28.
Estes esforços destacaram principalmente agências governamentais, como ministérios dos Negócios Estrangeiros, autoridades responsáveis pela aplicação da lei e fornecedores terceiros de serviços de correio eletrónico e de nuvem em países do Norte de África, da América Central, do Sudeste Asiático e da Europa.
A equipe do Microsoft Threat Intelligence, em sua análise da campanha, atribuiu a atividade ao APT28 e seu subgrupo rastreado como Storm-2754. A gigante da tecnologia disse ter identificado mais de 200 organizações e 5.000 dispositivos de consumo afetados pela infraestrutura DNS maliciosa do agente da ameaça.
“Para atores estatais como a Forest Blizzard, o sequestro de DNS permite visibilidade persistente e passiva e reconhecimento em escala”, disse Redmond. “Ao comprometer dispositivos de ponta que estão a montante de alvos maiores, os agentes de ameaças podem tirar vantagem de ativos menos monitorados ou gerenciados para migrar para ambientes corporativos”.
A atividade de sequestro de DNS também facilitou ataques AitM que tornaram possível facilitar o roubo de senhas, tokens OAuth e outras credenciais para serviços relacionados à Web e a e-mail, colocando as organizações em risco de um comprometimento mais amplo.
O desenvolvimento marca a primeira vez que o coletivo adversário foi observado usando sequestro de DNS em escala para oferecer suporte a conexões AiTM de Transport Layer Security (TLS) após explorar dispositivos de borda, acrescentou a Microsoft.
Em alto nível, a cadeia de ataque envolve o APT28 obtendo acesso administrativo remoto a dispositivos SOHO e alterando as configurações de rede padrão para usar resolvedores DNS sob seu controle. A reconfiguração maliciosa faz com que os dispositivos enviem solicitações de DNS para servidores controlados por atores.
Isso, por sua vez, faz com que as pesquisas de DNS para aplicativos de e-mail ou páginas de login sejam resolvidas pelo servidor DNS malicioso. O ator da ameaça então tenta conduzir ataques AitM contra essas conexões para roubar credenciais de contas de usuários, enganando as vítimas para que se conectem a uma infraestrutura maliciosa.
Alguns desses domínios estão associados ao Microsoft Outlook na web. A Microsoft disse que também identificou atividades de AitM direcionadas a servidores não hospedados pela Microsoft em pelo menos três organizações governamentais na África.
"Acredita-se que as operações de sequestro de DNS são de natureza oportunista, com o ator ganhando visibilidade de um grande grupo de possíveis usuários-alvo e, em seguida, filtrando os usuários em cada estágio da cadeia de exploração para fazer a triagem de vítimas de provável valor de inteligência", disse o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC).
Diz-se que o APT28 explorou roteadores TP-Link WR841N para suas operações de envenenamento de DNS, provavelmente aproveitando o CVE-2023-50224 (pontuação CVSS: 6,5), uma vulnerabilidade de desvio de autenticação que poderia ser usada para extrair credenciais armazenadas por meio de solicitações HTTP GET especialmente criadas.
Descobriu-se que um segundo cluster de servidores recebe solicitações de DNS por meio de roteadores comprometidos e, posteriormente, as encaminha para servidores remotos de propriedade de atores. Este cluster também está avaliado como envolvido em operações interativas visando um pequeno número de roteadores MikroTik localizados na Ucrânia.
"O sequestro de DNS e a atividade AitM da Forest Blizzard permitem que o ator conduza a coleta de DNS em organizações confidenciais
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #apt28, #ligado #ao #estado #russo, #explora #roteadores #soho #em #campanha #global #de #sequestro #de #dns
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário