📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma operação internacional das autoridades policiais em parceria com empresas privadas interrompeu a FrostArmada, uma campanha APT28 que sequestra o tráfego local dos roteadores MikroTik e TP-Link para roubar credenciais de contas da Microsoft.
O grupo de ameaça russo APT28, também rastreado como Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754 e Sednit, foi vinculado à unidade militar 26165 da Diretoria Principal de Inteligência do Estado-Maior General da Rússia (GRU), 85º Centro Principal de Serviços Especiais (GTsSS).
Nos ataques FrostArmada, os hackers comprometeram principalmente roteadores de pequenos escritórios/escritórios domésticos (SOHO) e alteraram as configurações do sistema de nomes de domínio (DNS) para apontar para servidores virtuais privados (VPS) sob seu controle, que atuaram como resolvedores de DNS.
Isso permitiu que o APT28 interceptasse o tráfego de autenticação para domínios direcionados e roubasse logins da Microsoft e tokens OAuth.
No seu pico, em dezembro de 2025, o FrostArmada infectou 18.000 dispositivos em 120 países, visando principalmente agências governamentais, autoridades policiais, provedores de TI e hospedagem, e organizações que operam seus próprios servidores.
A Microsoft, cujos serviços foram alvo desta campanha, trabalhou em conjunto com o Black Lotus Labs (BLL), a divisão de operações e pesquisa de ameaças da Lumen, para mapear a atividade maliciosa e identificar as vítimas.
Com o apoio do FBI, do Departamento de Justiça dos EUA e do governo polaco, a infra-estrutura ofensiva foi colocada offline.
Atividade da FrostArmada
Os invasores tiveram como alvo roteadores expostos à Internet, principalmente MikroTik e TP-Link, bem como alguns produtos de firewall da Nethesis e modelos mais antigos da Fortinet.
Uma vez comprometidos, os dispositivos se comunicavam com a infraestrutura dos invasores e recebiam alterações na configuração de DNS que redirecionavam o tráfego para nós VPS maliciosos.
As novas configurações de DNS foram enviadas automaticamente para dispositivos internos por meio do Dynamic Host Configuration Protocol (DHCP).
Quando os clientes consultavam domínios relacionados à autenticação visados pelo agente da ameaça, o servidor DNS retornava o IP do invasor em vez do IP real, redirecionando as vítimas para um proxy adversário no meio (AitM).
Redirecionamento de solicitação de DNS no nível do roteadorFonte: Black Lotus Labs
O único sinal visível de fraude para a vítima teria sido um aviso de certificado TLS inválido, que poderia ter sido facilmente ignorado. No entanto, ignorar o alerta deu ao agente da ameaça acesso à comunicação não criptografada da vítima na Internet.
“O ator basicamente executou um serviço de proxy como o AitM para o qual o usuário final foi direcionado via DNS”, explicam os pesquisadores do Black Lotus Labs da Lumen.
“O único sinal desse ataque seria um aviso pop-up sobre a conexão com uma fonte não confiável devido à configuração ‘quebrar e inspecionar’.”
“Se os avisos estavam presentes e eram ignorados ou clicados, o ator fazia proxy das solicitações para os serviços legítimos, coletando os dados no ponto médio e coletando os dados associados à conta de destino, passando o token OAuth válido.”
Em alguns casos, porém, os hackers falsificaram as respostas de DNS para determinados domínios, forçando assim os endpoints afetados a se conectarem às infraestruturas de ataque, afirma a Microsoft em um relatório hoje.
A Lumen relata que a FrostArmada operava em dois clusters distintos, um chamado de 'equipe de expansão' dedicado ao comprometimento de dispositivos e ao crescimento de botnets, e o segundo cuidando do AiTM e das operações de coleta de credenciais.
Visão geral das operações da filial de expansãoFonte: Black Lotus Labs
Os pesquisadores relatam que a atividade da FrostArmada aumentou drasticamente após um relatório de agosto de 2025 do Centro Nacional de Segurança Cibernética (NCSC) no Reino Unido, descrevendo um conjunto de ferramentas da Forest Blizzard que tinha como alvo credenciais e tokens de contas da Microsoft.
A Microsoft confirmou que o APT28 realizou ataques AitM contra domínios associados ao serviço Microsoft 365, uma vez que subdomínios do Microsoft Outlook na web também foram alvo.
Além disso, a empresa observou esta atividade em servidores pertencentes a três organizações governamentais em África que não estavam alojados na infraestrutura da Microsoft. Nesses ataques, “a Forest Blizzard interceptou solicitações de DNS e conduziu a coleta subsequente”.
O Black Lotus Labs também observou o ator da ameaça visando entidades com servidores de e-mail locais e “um pequeno número de organizações governamentais” no Norte da África, América Central e Sudeste Asiático.
Os pesquisadores observam que “houve também uma conexão com uma plataforma de identidade nacional em um país europeu”.
Em um relatório hoje, a agência do Reino Unido afirma que a atividade do AitM impactou tanto as sessões do navegador quanto os aplicativos de desktop, e acredita-se que o sequestro de DNS tenha sido de natureza oportunista para construir um grande conjunto de alvos potenciais e, em seguida, filtrar aqueles de interesse.
Black Lotus Labs publicou um pequeno conjunto de indicadores de comprometimento para os servidores VPS
O grupo de ameaça russo APT28, também rastreado como Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754 e Sednit, foi vinculado à unidade militar 26165 da Diretoria Principal de Inteligência do Estado-Maior General da Rússia (GRU), 85º Centro Principal de Serviços Especiais (GTsSS).
Nos ataques FrostArmada, os hackers comprometeram principalmente roteadores de pequenos escritórios/escritórios domésticos (SOHO) e alteraram as configurações do sistema de nomes de domínio (DNS) para apontar para servidores virtuais privados (VPS) sob seu controle, que atuaram como resolvedores de DNS.
Isso permitiu que o APT28 interceptasse o tráfego de autenticação para domínios direcionados e roubasse logins da Microsoft e tokens OAuth.
No seu pico, em dezembro de 2025, o FrostArmada infectou 18.000 dispositivos em 120 países, visando principalmente agências governamentais, autoridades policiais, provedores de TI e hospedagem, e organizações que operam seus próprios servidores.
A Microsoft, cujos serviços foram alvo desta campanha, trabalhou em conjunto com o Black Lotus Labs (BLL), a divisão de operações e pesquisa de ameaças da Lumen, para mapear a atividade maliciosa e identificar as vítimas.
Com o apoio do FBI, do Departamento de Justiça dos EUA e do governo polaco, a infra-estrutura ofensiva foi colocada offline.
Atividade da FrostArmada
Os invasores tiveram como alvo roteadores expostos à Internet, principalmente MikroTik e TP-Link, bem como alguns produtos de firewall da Nethesis e modelos mais antigos da Fortinet.
Uma vez comprometidos, os dispositivos se comunicavam com a infraestrutura dos invasores e recebiam alterações na configuração de DNS que redirecionavam o tráfego para nós VPS maliciosos.
As novas configurações de DNS foram enviadas automaticamente para dispositivos internos por meio do Dynamic Host Configuration Protocol (DHCP).
Quando os clientes consultavam domínios relacionados à autenticação visados pelo agente da ameaça, o servidor DNS retornava o IP do invasor em vez do IP real, redirecionando as vítimas para um proxy adversário no meio (AitM).
Redirecionamento de solicitação de DNS no nível do roteadorFonte: Black Lotus Labs
O único sinal visível de fraude para a vítima teria sido um aviso de certificado TLS inválido, que poderia ter sido facilmente ignorado. No entanto, ignorar o alerta deu ao agente da ameaça acesso à comunicação não criptografada da vítima na Internet.
“O ator basicamente executou um serviço de proxy como o AitM para o qual o usuário final foi direcionado via DNS”, explicam os pesquisadores do Black Lotus Labs da Lumen.
“O único sinal desse ataque seria um aviso pop-up sobre a conexão com uma fonte não confiável devido à configuração ‘quebrar e inspecionar’.”
“Se os avisos estavam presentes e eram ignorados ou clicados, o ator fazia proxy das solicitações para os serviços legítimos, coletando os dados no ponto médio e coletando os dados associados à conta de destino, passando o token OAuth válido.”
Em alguns casos, porém, os hackers falsificaram as respostas de DNS para determinados domínios, forçando assim os endpoints afetados a se conectarem às infraestruturas de ataque, afirma a Microsoft em um relatório hoje.
A Lumen relata que a FrostArmada operava em dois clusters distintos, um chamado de 'equipe de expansão' dedicado ao comprometimento de dispositivos e ao crescimento de botnets, e o segundo cuidando do AiTM e das operações de coleta de credenciais.
Visão geral das operações da filial de expansãoFonte: Black Lotus Labs
Os pesquisadores relatam que a atividade da FrostArmada aumentou drasticamente após um relatório de agosto de 2025 do Centro Nacional de Segurança Cibernética (NCSC) no Reino Unido, descrevendo um conjunto de ferramentas da Forest Blizzard que tinha como alvo credenciais e tokens de contas da Microsoft.
A Microsoft confirmou que o APT28 realizou ataques AitM contra domínios associados ao serviço Microsoft 365, uma vez que subdomínios do Microsoft Outlook na web também foram alvo.
Além disso, a empresa observou esta atividade em servidores pertencentes a três organizações governamentais em África que não estavam alojados na infraestrutura da Microsoft. Nesses ataques, “a Forest Blizzard interceptou solicitações de DNS e conduziu a coleta subsequente”.
O Black Lotus Labs também observou o ator da ameaça visando entidades com servidores de e-mail locais e “um pequeno número de organizações governamentais” no Norte da África, América Central e Sudeste Asiático.
Os pesquisadores observam que “houve também uma conexão com uma plataforma de identidade nacional em um país europeu”.
Em um relatório hoje, a agência do Reino Unido afirma que a atividade do AitM impactou tanto as sessões do navegador quanto os aplicativos de desktop, e acredita-se que o sequestro de DNS tenha sido de natureza oportunista para construir um grande conjunto de alvos potenciais e, em seguida, filtrar aqueles de interesse.
Black Lotus Labs publicou um pequeno conjunto de indicadores de comprometimento para os servidores VPS
#samirnews #samir #news #boletimtec #autoridades #interrompem #sequestros #de #dns #de #roteadores #usados #para #roubar #logins #do #microsoft #365
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário