详细内容或原文请订阅后点击阅览
NCSC 警告称,俄罗斯 Fancy Bear 仍在攻击路由器以增加虚假网站
微软估计,迄今为止,在 Vlad 最新的情报抓取中,已有 200 个组织和 5,000 台设备受到损害。英国国家网络安全中心 (NCSC) 已针对俄罗斯持续针对路由器窃取密码和其他机密的行为发出了新的警告。
来源:The Register _恶意软件英国国家网络安全中心 (NCSC) 就俄罗斯持续以路由器为目标窃取密码和其他机密的行为发出了新的警告。
据称,APT28(又名 Fancy Bear)是一个广泛归属于俄罗斯情报机构 (GRU) 的组织,它正在利用小型家庭办公室 (SOHO) 路由器中的漏洞并更改其 DNS 服务器设置,以将受害者重定向到其控制的网站。
在许多情况下,更改这些 DNS 设置还会导致下游设备(例如笔记本电脑和智能手机)继承它们,从而使它们面临恶意连接。
Fancy Bear 通常会将搜索 Outlook 等常用服务的受害者重新路由到其控制下的网站。相反,受害者会看到一个 Outlook 山寨页面,他们会无意中输入合法凭据来访问该服务。
TP-Link 路由器被特别点名,尽管思科路由器之前也曾陷入过同样的活动,而且 NCSC 自 2021 年以来一直在监控这一活动。
针对 MikroTik 路由器的类似活动的单独集群。 NCSC 认为其中许多位于乌克兰,破坏它们将使俄罗斯能够收集具有军事情报价值的数据。
尽管 DNS 劫持活动已经持续多年,并且是由经验丰富的威胁行为者实施的,但 NCSC 表示,这可能是机会主义的,而不是专门针对高价值个人进行攻击。
NCSC 运营总监 Paul Chichester 表示:“这项活动展示了复杂的敌对行为者如何利用广泛使用的网络设备中的漏洞进行利用。
“我们强烈鼓励组织和网络防御者熟悉该通报中描述的技术并遵循缓解建议。
“NCSC 将继续揭露俄罗斯的恶意网络活动,并提供实用指导来帮助保护英国网络。”