TokyoBlackHatNews

gbhackers.com 5分で読了

ロシアの脅威行為者が拡大するDNSハイジャック波でホームルーターを悪用

ロシア軍関連のハッカーは、保安が不十分なホームおよび小規模オフィスルーターを積極的に侵害し、インターネットトラフィックをハイジャックし、世界中の組織をスパイしています。

Microsoft Threat Intelligenceは最近、Forest Blizzardとして知られるグループによるこの大規模なグローバルキャンペーンを暴露しました。このキャンペーンは既に200以上の組織と5,000台の消費者デバイスに影響を与えています。

Forest Blizzardは洗練された国家が後援する脅威行為者であり、ロシア政府の情報機関および外交政策の目標を直接支援する形で活動しています。

サイバーセキュリティ研究者によってAPT28またはStrontiumなどの名前でも追跡されているこのグループとそのサブグループStorm-2754は、2025年8月以来、保安が不十分な小規模オフィスルーターを悪用しています。

これらの一般的なエッジデバイスはしばしばパッチが当たっていない状態で、監視も不十分であり、ハッカーがより大規模なエンタープライズネットワークにシームレスにピボットするための完璧な足がかりとなります。

ルーター侵害の手法

攻撃チェーンは、ハッカーが脆弱なルーターへの不正アクセスを得、その既定のネットワーク設定を悪意を持って変更する時に始まります。

攻撃者はドメインネームシステム(DNS)設定を操作し、侵害されたルーターにすべての受信インターネットトラフィックリクエストを悪意のあるサーバーに直接送信するように強制します。

このような特定の戦術により、ロシア情報機関の行為者は前例のないスケールで継続的でパッシブなネットワークの可視性と偵察を実行できるようになります。

ノートパソコンやスマートフォンなどの日常デバイスはルーターから自動的にネットワーク設定を受け取るため、接続されているすべてのデバイスは知らず知らずのうちに攻撃者のインフラストラクチャを通じてトラフィックをルーティングします。

ハッカーは、この違法なトラフィック転送を処理するために、dnsmasqと呼ばれる一般的で正当なネットワークユーティリティに依存しています。

受信DNSクエリについてポート53でリッスンすることにより、攻撃者は即座なセキュリティアラームをトリガーせずに侵害されたネットワークを静かに監視することができます。

仲介者攻撃(Adversary-in-the-Middle Attacks)

初期DNSトラフィックが正常にハイジャックされると、Forest Blizzardは政府、IT、エネルギー部門の高価値ターゲットに対して選別的に仲介者攻撃(AiTM)を開始します。

ハッカーは、不正なセキュリティ証明書をユーザーに提示することにより、ターゲットのエンドポイントに正当なMicrosoftサービスの偽造版への接続を強制します。

侵害されたユーザーがブラウザのセキュリティ警告を無視した場合、攻撃者は暗号化された接続内に隠されている機密メール、パスワード、およびクラウドデータを積極的に傍受することができます。

初期のルーターハイジャックは非常に広いネットをキャストしていますが、その後のAiTM攻撃は特定の外国情報機関の優先事項に対して極めてターゲット化されています。

Microsoftは、これらの特定のデータ傍受にはアフリカの少なくとも3つの異なる政府組織のMicrosoft以外がホストするサーバーに対する高度な操作が含まれていることを指摘しました。

AiTM立場を保持している攻撃者は、将来これらの隠蔽された操作を簡単にエスカレートして、破壊的なマルウェアをデプロイしたり、被害者に対するネットワークサービス拒否攻撃を開始したりすることができます。

これらのエスカレートする脅威を軽減するために、組織は遠隔労働者が使用する管理されていないホームルーターが重大なセキュリティ脆弱性を表していることを直ちに認識する必要があります。

セキュリティ専門家は、リモートデバイスが信頼できるコーポレートサーバーを通じてのみウェブアドレスを解決するためにすべてのコーポレートラップトップにZero Trust DNSポリシーを強制することを強く勧めています。

さらに、企業は全体的なネットワーク攻撃面を大幅に削減するために、企業環境でコンシューマーグレードのルーターソリューションの使用を積極的に回避する必要があります。

アイデンティティ保護戦略

企業は、アイデンティティ管理を一元化されたプラットフォームに完全に統合し、安全なデジタル境界を維持するためにすべてのユーザーアカウントを慎重に同期する必要があります。

組織は、フィッシング耐性のある多要素認証を厳密に強制し、スマート条件付きアクセスポリシーを活用して、危険なサインイン試行を自動的にブロックする必要があります。

これらの包括的なアイデンティティ保護を実装することにより、侵害されたホームWi-Fi接続が破壊的な企業データ漏洩につながるのを効果的に防ぐことができます。

Microsoft Defenderのような高度なセキュリティプラットフォームを利用している組織は、エンドポイントデバイス上の異常なDNS変更を積極的に検出できます。

変更されたDNS設定をリセットすることは即座のトラフィックリダイレクションを停止しますが、攻撃者がユーザー認証情報を既に正常に盗んでいる場合、組織を保護しません。

したがって、セキュリティチームは詳細なネットワークログを維持し、継続的なアクセス評価プロトコルを実装して、侵害後の行動を迅速に検出および中和する必要があります。

翻訳元: https://gbhackers.com/russian-threat-actors-abuse-home-routers/

ソース: gbhackers.com
#AitM攻撃 #APT28 #DNSハイジャック #Forest Blizzard #ゼロトラストセキュリティ #ネットワークセキュリティ #ホームルーター侵害 #仲介者攻撃 #国家支援型サイバー脅威 #多要素認証

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚