文章总结： 俄罗斯军事情报组织APT28自2025年8月起大规模入侵SOHO路由器，通过篡改DNS配置实施劫持与中间人攻击，已影响200余组织和5000多台设备。攻击者利用dnsmasq工具将DNS请求重定向至恶意服务器，并伪造TLS证书截获Outlook等服务的敏感数据。微软建议采用零信任DNS、强制MFA、禁用家庭路由器企业环境等措施防护，并提供相关威胁狩猎KQL查询。 综合评分： 87 文章分类： 威胁情报,漏洞分析,解决方案,网络安全,渗透测试

APT28利用SOHO路由器发动DNS劫持与中间人攻击

bitbot bitbot

Desync InfoSec

2026年4月8日 18:14 北京

来源：Microsoft Threat Intelligence Blog · 2026-04-07

📌 核心要点

• 俄罗斯军事情报组织 Forest Blizzard（即 APT28/Strontium）及其子组织 Storm-2754 自 2025 年 8 月起大规模入侵 SOHO 路由器
• 通过篡改路由器 DNS 配置，将数千台设备的 DNS 请求重定向至攻击者控制的服务器
• 已波及 200+ 个组织和 5000+ 台消费级设备
• 利用 DNS 劫持实施针对 Microsoft Outlook 的 TLS 中间人攻击，截获电子邮件等敏感数据
• 这是微软首次观测到 Forest Blizzard 大规模利用 DNS 劫持支持 TLS 中间人攻击

▲ DNS 劫持攻击链示意图

一、攻击概述

2026 年 4 月 7 日，微软威胁情报团队披露了一项重大国家级攻击活动：俄罗斯军事情报组织 Forest Blizzard（即 APT28/Strontium）及其子组织 Storm-2754，正在大规模入侵家庭和小型办公室（SOHO）路由器，通过 DNS 劫持实施中间人攻击（AiTM），已波及 200 多个组织和 5000 多台消费级设备。

对于这类国家级威胁行为者而言，DNS 劫持提供了一种持久、被动的大规模侦察能力。攻击者通过入侵位于大型目标上游的边缘设备，利用这些较少被监控的资产作为跳板，渗透企业环境。此次攻击覆盖政府、IT、电信和能源等多个行业。

⚠ 重要发现

这是微软首次观测到 Forest Blizzard 大规模利用边缘设备后，通过 DNS 劫持来支持 TLS 连接的中间人攻击。

二、完整攻击链分析

第一步：边缘路由器入侵

Forest Blizzard 获取 SOHO 设备访问权限后，篡改其默认网络配置，将 DNS 解析器替换为攻击者控制的服务器。这一恶意配置变更导致数千台设备的 DNS 请求被发送到攻击者控制的基础设施。

终端设备通常通过 DHCP 从边缘设备获取网络配置。利用 SOHO 设备的投入极低，但覆盖面极广——攻击者可以收集 DNS 流量并被动观测请求，为后续攻击活动奠定基础。

第二步：DNS 劫持实现

微软分析认为，Forest Blizzard 几乎确定使用了 dnsmasq 工具执行 DNS 解析和响应，监听 53 端口处理 DNS 查询。dnsmasq 是一个广泛应用于家庭路由器和小型网络的合法轻量级网络服务工具，提供 DNS 转发、缓存和 DHCP 服务器等功能。

第三步：中间人攻击（AiTM）

微软观测到了与初始入侵活动相关的 TLS 中间人攻击。在大多数情况下，DNS 请求被攻击者基础设施透明代理，连接到合法服务端点不会被打断。但在少数特定目标中，攻击者伪造了特定域名的 DNS 响应，将终端强制连接到攻击者控制的基础设施。

攻击者控制的恶意基础设施随后向受害者出示无效的 TLS 证书，冒充合法的微软服务。如果用户忽略了无效证书警告，攻击者就可以主动截获 TLS 连接内的明文流量——可能包括电子邮件和其他客户内容。

两种 AiTM 攻击场景

场景一 — 针对 Microsoft 365 域名：Forest Blizzard 对与 Outlook Web 相关的域名实施了后续 AiTM 操作。

场景二 — 针对政府服务器：微软发现该活动还针对至少三个非洲政府组织的非微软托管服务器进行了独立的 AiTM 攻击，截获 DNS 请求并实施后续情报收集。

三、防御与检测指南

DNS 劫持防护

• 在 Windows 端点上使用 Zero Trust DNS (ZTDNS) 强制域名级别的网络访问控制
• 阻止已知恶意域名，维护详细的 DNS 日志用于监控和调查
• 在 Microsoft Defender for Endpoint 中启用网络保护和 Web 保护
• 避免在企业环境中使用家庭路由器解决方案

AiTM 与凭据盗窃防护

• 集中身份管理，集成混合目录环境
• 严格实施 MFA 和条件访问策略，优先保护特权账户
• 使用无密码方案（passkeys）配合 MFA
• 实施持续访问评估和登录风险策略

四、威胁狩猎 KQL 查询

检测高风险登录：

AADSignInEventsBeta | where RiskLevelAggregated == 100 and (ErrorCode == 0 or ErrorCode == 50140) | project Timestamp, Application, LogonType, AccountDisplayName, UserAgent, IPAddress

检测凭据盗窃后活动：

CloudAppEvents | where AccountObjectId == “suspicious_user_id” | where ActionType has_any (“Search”, “MailItemsAccessed”)

五、IoC 与参考

| 字段 | 值 | | — | — | | 威胁组织 | Forest Blizzard (APT28/Strontium) / Storm-2754 | | 攻击类型 | DNS 劫持 + TLS 中间人攻击 | | 目标设备 | SOHO 路由器（家庭/小型办公室） | | 使用工具 | dnsmasq（DNS 解析） | | 受影响规模 | 200+ 组织、5000+ 设备 | | 起始时间 | 2025 年 8 月 |

MITRE ATT&CK：初始访问 T1190（漏洞利用） · 持久化 T1584（入侵基础设施） · 凭据访问 T1557（中间人攻击） · 发现 T1040（网络嗅探） · C2 T1071（DNS） · 收集 T1557（AiTM）

原文：Microsoft Threat Intelligence Blog

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《APT28利用SOHO路由器发动DNS劫持与中间人攻击》