APT28滲透SOHO裝置從事DNS挾持活動，逾200家企業受害

微軟指出這波攻擊行動從去年8月開始，APT28與附隨組織Storm-2754，大規模綁架資安防護脆弱的SOHO網路設備，挾持DNS請求來收集特定網路流量。這些駭客還進一步向上游發動攻擊，入侵大型企業組織網路上游（upstream）的邊緣設備，藉由這類較少受到監控與管理的資產，探測企業的內部網路環境。該公司確認有超過200家企業組織、5,000臺消費型裝置受到影響。

對於駭客綁架上述設備的目的，主要與協助俄羅斯當局收集外國情報有關。他們透過DNS挾持活動，針對微軟網路郵件服務Outlook的TLS連線從事對手中間人攻擊。微軟指出，這是他們首度看到APT28利用邊緣設備、DNS挾持等技術來從事網釣的情況。

這些駭客疑似濫用名為dnsmasq的公用程式進行DNS解析與回應，並監聽53埠的DNS查詢內容。而在對手中間人攻擊活動裡，駭客都是針對TLS連線而來，根據目標的不同，大致可區分成兩種，一種是針對M365網域，另一種是鎖定特定政府機關伺服器下手。微軟提及，駭客控制的基礎設施會偽造微軟的網路服務，但通常會向使用者顯示無效的TLS憑證，若是使用者忽略無效的憑證警告，攻擊者就能主動攔截TLS連線底層的流量。