全球最具持久性的黑客组织之一找到了新的隐匿方式。这个被称为 Fancy Bear(又称 APT28,隶属于俄罗斯军事情报机构 GRU 第26165部队)的威胁组织正在悄然改变其网络攻击运作模式。
基础设施转型
该组织不再依赖传统基础设施,转而劫持家用路由器和消费设备构建几乎无法追踪的暗影网络。追踪 APT28 多年的 Sekoia 分析师发现,该组织在攻击基础设施管理方式上发生了重大结构性转变。
Sekoia 在向网络安全新闻(CSN)提供的报告中指出,APT28 已将其大部分操作转移到被入侵的 SOHO 路由器和边缘设备上,取代了此前作为指挥中心的租用虚拟专用服务器。
这一基础设施规模令人震惊。2025年12月高峰期,研究人员观察到来自120个国家超过18,000个独立 IP 地址与 APT28 控制的服务器通信。约200家机构和5,000台消费设备受到影响,受害者主要来自外交部、执法机构和 IT 托管服务提供商。
攻击手法升级
APT28 的攻击手法也发生显著演变。该组织从稳定的恶意软件框架转向部署短效、单一用途的工具,一旦暴露立即弃用。他们还试验了一款名为 LameHug 的 AI 驱动信息窃取程序,该程序通过查询实时 AI 模型动态生成攻击指令。
这种结合一次性工具、云服务滥用和路由器劫持的方式,使 APT28 成为当前最具能力的威胁组织之一。
路由器劫持
APT28 最显著的战术转变是对消费级路由器的接管。该组织重新利用了一个基于 MooBot 恶意软件构建的犯罪僵尸网络,于2022年4月控制了数百台 Ubiquiti EdgeRouter 路由器。该僵尸网络有三个用途:中继窃取的 Microsoft Exchange 认证哈希、在住宅 IP 地址上托管钓鱼页面,以及在劫持的路由器上运行自定义 Python 脚本。
2024年,FBI 的“Operation Dying Ember”行动摧毁了这一网络。但即使在取缔后,仍有超过350台数据中心服务器与攻击者基础设施保持通信,显示出此类僵尸网络的根除难度。
2026年,APT28 通过名为 FrostArmada 的行动扩大了相同手法,这次瞄准 MikroTik 和 TP-Link 路由器。攻击者重写 DNS 设置,将流量重定向至其控制的服务器。受影响网络上的每台设备都会在不知情情况下将登录请求通过 APT28 节点传输,从而悄无声息地窃取 Microsoft 365 等服务的凭证和 OAuth 令牌。
云服务作为隐蔽命令通道
除路由器劫持外,APT28 还通过合法云平台路由恶意软件通信以规避检测。在“Operation Phantom Net Voxel”行动中,该组织部署了一个名为 BeardShell 的定制 C++ 后门,使用云存储 API 作为其命令通道。对监控流量者而言,这看起来像是与可信云服务的连接。
该组织可以轻松更换云服务提供商。研究人员观察到数月后同一攻击链被重用于不同的文件托管平台,证实轮换云后端已成为常规操作。在同一操作基础设施上发现的名为 Slimagent 的键盘记录器,与 APT28 十多年前的标志性植入程序 X-Agent 有直接代码渊源。
防御建议
为降低风险,组织应保持路由器固件更新、修改默认凭证并禁用未使用的远程管理功能。使用云服务的企业应实施防钓鱼的多因素认证,并定期审计 OAuth 令牌权限。FBI 网络犯罪投诉中心在 FrostArmada 曝光后发布公开警报,敦促家庭用户和小型企业检查路由器设置。
参考来源:
Fancy Bear Hackers Abuse EdgeRouters and Cloud Services to Launch Stealthy Cyberattacks
https://cybersecuritynews.com/fancy-bear-hackers-abuse-edgerouters-and-cloud-services/ | 
发表于 昨天 23:24
|
查看: 14|
回复: 0
