民間企業と提携した法執行当局による国際的な作戦により、MikroTikおよびTP-Linkルーターからのローカルトラフィックを乗っ取ってMicrosoftアカウント認証情報を盗むAPT28キャンペーンのFrostArmadaが遮断されました。
ロシアの脅威グループAPT28は、Fancy Bear、Sofacy、Forest Blizzard、Strontium、Storm-2754、Sednitとしても追跡されており、ロシア参謀本部参謀部情報局(GRU)第85主要特殊部隊センター(GTsSS)軍事部隊26165と関連付けられています。
FrostArmada攻撃では、ハッカーは主に小規模オフィス/ホームオフィス(SOHO)ルーターを侵害し、ドメインネームシステム(DNS)設定を自身が管理する仮想プライベートサーバー(VPS)を指すように変更し、DNS解決者として機能させました。
これにより、APT28は対象ドメインへの認証トラフィックを傍受し、MicrosoftログインおよびOAuthトークンを盗むことができました。
2025年12月のピーク時には、FrostArmadaは120カ国の18,000デバイスに感染し、主に政府機関、法執行機関、ITおよびホスティングプロバイダー、独自のサーバーを運用する組織を対象としていました。
このキャンペーンの対象となったMicrosoftは、Lumenの脅威研究・運用部門であるBlack Lotus Labs(BLL)と協力して、悪意のあるアクティビティをマッピングし、被害者を特定しました。
FBI、米国司法省、ポーランド政府のサポートを受けて、違反インフラストラクチャはオフラインに切断されました。
FrostArmadaアクティビティ
攻撃者は、主にMikroTikおよびTP-Linkなどのインターネット公開ルーター、ならびにNethesisのファイアウォール製品およびより古いFortinet モデルの一部を対象としていました。
侵害されると、デバイスは攻撃者のインフラストラクチャと通信し、DNS構成の変更を受け取り、トラフィックを悪意のあるVPSノードにリダイレクトしました。
新しいDNS設定は、動的ホスト構成プロトコル(DHCP)を介して内部デバイスに自動的にプッシュされました。
クライアントが脅威主体が対象とした認証関連ドメインをクエリすると、DNSサーバーは実際のIPではなく攻撃者のIPを返し、被害者を中間者プロキシ(AitM)にリダイレクトしました。
被害者にとって唯一の詐欺の兆候は、無効なTLS証明書についての警告であり、簡単に無視できたであろう。しかし、警告を無視すると、脅威主体は被害者の暗号化されていないインターネット通信にアクセスできるようになりました。
「アクターは本質的には、DNS経由でエンドユーザーが指示されたAitMとしてプロキシサービスを実行していた」とLumenのBlack Lotus Labs研究者は説明しています。
「この攻撃の唯一の兆候は、’ブレイク・アンド・インスペクト’構成のため信頼されていないソースに接続することについてのポップアップ警告でしょう。」
「警告が表示され、無視されるか、クリックされた場合、アクターは正当なサービスにリクエストをプロキシし、中点でデータを収集し、有効なOAuthトークンを渡すことで対象アカウントに関連するデータを収集しました。」
ただし、場合によっては、ハッカーは特定のドメインについてDNS応答をなりすまし、影響を受けたエンドポイントが攻撃インフラストラクチャに接続するよう強制しました。Microsoftは本日のレポートで述べています。
Lumenは、FrostArmadaが2つの異なるクラスターで動作していたことを報告しており、1つは「拡張チーム」と呼ばれ、デバイス侵害とボットネット成長に専念し、2つ目はAiTMと認証情報収集操作を処理していました。
研究者は、FrostArmadaアクティビティが、Microsoftアカウントのログインおよびトークンを対象とするForest Blizzardツールセットについて説明したイギリスの国家サイバーセキュリティセンター(NCSC)の2025年8月のレポート後に急激に増加したことを報告しています。
MicrosoftはAPT28がMicrosoft 365サービスに関連するドメインに対してAitM攻撃を実行したこと、およびOutlook on the webのサブドメインに対しても攻撃が行われたことを確認しました。
さらに、同社はMicrosoftインフラストラクチャでホストされていないアフリカの3つの政府組織に属するサーバー上でこのアクティビティを観測しました。それらの攻撃では、「Forest BlizzardはDNSリクエストを傍受し、その後の収集を実施しました。」
Black Lotus Labsは、オンプレミスメールサーバーを持つエンティティおよび北アフリカ、中米、東南アジアの「少数の政府組織」を対象とした脅威主体も観測しました。
研究者は「ある欧州諸国の国家識別プラットフォームとの接続も存在した」と述べています。
本日のレポートで、英国機関は、AitMアクティビティがブラウザセッションとデスクトップアプリケーションの両方に影響を与えたこと、およびDNS乗っ取りは機会主義的な性質のものであると考えられ、大量の潜在的目標のプールを構築してから関心のあるものをフィルタリングしたと述べています。
Black Lotus Labsは、FrostArmadaキャンペーン中に使用されたVPSサーバーについて、侵害の指標の小さなセットを公開しています:
| IPアドレス | 最初に見た | 最後に見た |
|---|---|---|
| 64.120.31[.]96 | 2025年5月19日 | 2026年3月31日 |
| 79.141.160[.]78 | 2025年7月19日 | 2026年3月31日 |
| 23.106.120[.]119 | 2025年7月19日 | 2026年3月31日 |
| 79.141.173[.]211 | 2025年7月19日 | 2026年3月31日 |
| 185.117.89[.]32 | 2025年9月9日 | 2025年9月9日 |
| 185.237.166[.]55 | 2025年12月30日 | 2025年12月30日 |
研究者は、防御者はMDM ソリューションで制御される企業デバイス(ラップトップ、携帯電話)に対して証明書ピンを実装すべきであり、攻撃者がVPSインフラストラクチャ上でトラフィックを傍受および分析しようとするときにエラーが発生するだろうと指摘しています。
もう1つの推奨事項は、パッチ適用、パブリックウェブ上の露出の最小化、および対象外のすべての機器の削除を通じて攻撃面を最小化することです。
MicrosoftおよびNCSCもIoCのリストと保護ガイダンスを提供しており、防御者がDNS乗っ取り攻撃を特定および防止するのに役立ちます。
