ZCyberNews
English
威胁情报10 分钟阅读

APT28将简单的路由器入侵与复杂的恶意软件相结合

在国家资助的网络间谍活动的隐秘世界中,一场新的行动模糊了复杂恶意软件与令人震惊的简单入侵之间的界限。被追踪为APT28(亦

APT28将简单的路由器入侵与复杂的恶意软件相结合

在国家资助的网络间谍活动的隐秘世界中,一场新行动模糊了复杂恶意软件与惊人简单入侵手段之间的界限。被追踪为APT28(亦被称为Forest Blizzard或Pawn Storm)的俄罗斯威胁行为体正在执行一项全球性、多管齐下的行动,同时利用了粗放的路由器劫持技术和一套精密的模块化恶意软件套件。这种双重策略揭示出该威胁组织既擅长机会主义的低成本数据窃取,又能实施有针对性的高精度入侵,其目标直指乌克兰及其北约盟友。

安全研究人员发现,该组织正在入侵MikroTik和TP-Link等品牌的家庭及小型办公(SOHO)路由器。入侵手段看似简单:利用已知漏洞或默认凭据获取管理权限。一旦进入,攻击者会进行一项精准修改——仅变更域名系统(DNS)配置这一项设置。通过将DNS查询重定向至攻击者控制的服务器,APT28能够实施DNS劫持,悄无声息地拦截并操纵所有连接该路由器的设备产生的网络流量。这种"无恶意软件"技术使得他们无需在受害者计算机上安装任何文件,即可窃取用户的登录凭据、电子邮件及其他敏感数据。其影响范围可能极为广泛,有报告指出该组织通过将这些消费级设备转变为恶意基础设施,已从全球众多机构获取"大量登录信息"。

PRISMEX恶意软件:一套隐秘的间谍工具集

在路由器攻击广泛撒网的同时,APT28正运用一套名为PRISMEX的新型高级恶意软件框架,同步开展高度定向的入侵行动。该套件体现了该组织的持续演进能力,通过针对乌克兰及相关北约国家实体的鱼叉式网络钓鱼活动进行部署。PRISMEX并非单一工具,而是一套为隐蔽性和持久性设计的组件集合。

该框架的一个关键特性是运用了隐写术——即将数据隐藏在看似无害的其他文件(如图片)中的技术。这使得恶意软件能够通过将窃取的数据或接收的新指令嵌入看似普通的网络流量中,与其命令与控制(C2)服务器通信,从而规避基于网络的检测。PRISMEX的模块化特性意味着操作者可根据需要部署特定功能,从初始侦察和凭据窃取,到在受感染网络内建立完整的后门访问及横向移动能力。此次行动凸显了APT28对传统网络间谍目标的专注:从特定实体收集军事、政治及战略情报。

双重策略:机会主义窃取与定向入侵并行

这两项截然不同的行动——广泛的SOHO路由器劫持与聚焦的PRISMEX部署——同时展开,体现了一个成熟的**高级持续性威胁(APT)**组织经过精心谋划的双重策略。

路由器攻击具有机会主义和可扩展性。它利用了消费级网络设备普遍存在的安全漏洞,这些设备常被IT部门和个人用户忽视。通过攻击这些设备,APT28建立起广泛的监控能力。他们能从海量用户中收集凭据,进而用于后续定向攻击、情报搜集或访问权限交易。这种方法成本极低,且能提供合理的推诿空间,因为攻击流量会经由位于无关地理位置的受感染基础设施进行路由。

相比之下,PRISMEX行动则需投入大量资源且目标明确。它涉及制作具有说服力的钓鱼诱饵、开发维护复杂恶意软件,以及实施细致的操作安全措施以避免在高价值目标上暴露其工具。这好比是精密手术刀与路由器攻击这把重锤的配合。广泛撒网所获的情报甚至可能为鱼叉式钓鱼行动提供目标指引,形成恶性循环:从路由器入侵窃取的凭据,可能为后续针对企业网络部署PRISMEX的定向攻击提供初始访问权限。

持续性威胁与缓解策略

隶属于俄罗斯军事情报机构(GRU)的APT28,是网络领域最具持久性和适应性的威胁行为体之一。其活动始终与俄罗斯国家利益保持一致,专注于收集地缘政治对手的相关情报。该组织能在简单高效的战术与高级定制恶意软件之间灵活切换,展现出强大的操作灵活性,防御者必须在多个层面加以应对。

缓解这些特定威胁需要分层防御策略。针对路由器攻击,首要防御措施是基础安全防护:修改默认管理员密码、除非绝对必要否则禁用远程管理功能,并确保路由器固件持续更新以修补已知漏洞(例如TP-Link的CVE-2023-1389或MikroTik的CVE-2018-14847)。监控网络中异常的DNS服务器变更也至关重要。组织应强制使用基于HTTPS的DNS(DoH)基于TLS的DNS(DoT),这些协议能加密DNS查询,防止APT28所采用的篡改手段。

防御PRISMEX类威胁则需围绕强化电子邮件安全、端点检测和用户意识展开。高级邮件过滤可拦截鱼叉式钓鱼尝试,而**端点检测与响应(EDR)**工具对于发现无文件或基于隐写术的恶意软件的细微行为必不可少。最后,持续开展识别钓鱼尝试的用户培训仍是防御基石,因为人为交互往往是触发最复杂恶意软件套件的初始环节。

核心要点

  • APT28(Forest Blizzard)正在并行开展网络间谍行动:一是广泛的机会主义攻击,劫持SOHO路由器;二是针对乌克兰及北约盟友的定向行动,使用高级PRISMEX恶意软件套件。
  • 路由器攻击采用简单但破坏性强的DNS劫持技术,通过修改漏洞设备上的单一设置,无需在终端部署恶意软件即可窃取所有连接用户的凭据和数据。
  • PRISMEX框架运用隐写术和模块化组件进行高隐蔽性情报收集,通过定向鱼叉式钓鱼传播。
  • 这种双重策略展示了该组织既能实施低成本、大规模数据窃取,又能执行高精度、情报驱动的入侵行动。
  • 缓解措施包括:更新并加固SOHO路由器、强制使用加密DNS(DoH/DoT)、部署高级邮件和端点安全防护,以及持续开展用户安全意识培训。

相关文章

俄罗斯APT28在全球间谍活动中劫持路由器
威胁情报

俄罗斯APT28在全球间谍活动中劫持路由器

这鲜明地提醒我们,复杂的国家资助间谍活动并非总是需要复杂的恶意软件,俄罗斯臭名昭著的APT28威胁组织正在通过武器化

7 分钟阅读
LockBit 4.0 采用新型规避技术瞄准医疗保健行业CRITICAL
威胁情报

LockBit 4.0 采用新型规避技术瞄准医疗保健行业

LockBit 4.0 operators 已针对北美和欧洲的医疗保健组织发起了一场协同攻击行动,部署了经过更新的 ransomware,该 ransomware 具备增强的 EDR 规避能力,并配备了一个新的 double-extortion portal。

7 分钟阅读LockBit 4.0
CanisterWiper蠕虫通过配置不当的云存储攻击伊朗目标
恶意软件

CanisterWiper蠕虫通过配置不当的云存储攻击伊朗目标

一个犯罪团伙利用配置不当的云存储传播并销毁数据,向伊朗实体部署了具有自我传播能力的CanisterWiper恶意软件。

11 分钟阅读