2026-04-10 02:08:40 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文分析了APT28组织利用CVE-2023-50224漏洞攻击SOHO路由器，通过DNS劫持实施中间人攻击窃取凭证的完整攻击链。该行动涉及全球120个国家超1.8万台设备，采用自动化过滤机制精准攻击高价值目标。防御建议包括及时更新固件、加强DNS监控及采用零信任架构。 综合评分： 87 文章分类： 漏洞分析,威胁情报,渗透测试,安全建设,应急响应

cover_image

拿捏1.8万台设备！从CVE-2023-50224看APT组织如何玩转边缘设备渗透

原创

Kit Chung Kit Chung

安全圈动向

2026年4月9日 08:04 广东

嗨，兄弟们好！最近网安圈出了个大瓜，不知道大家有没有关注到。

老外那边，微软、Lumen的黑莲花实验室（Black Lotus Labs），再加上美国司法部（DoJ）和FBI，搞了个代号为 “Operation Masquerade（伪装行动）” 的联合大动作，联手端掉了一个名为 FrostArmada 的庞大恶意基础设施网络。

这次被按在地上摩擦的，是咱们网安圈的老熟人——被认为有俄罗斯军方（GRU）背景的 APT28（微软也叫他们 Forest Blizzard 或 Storm-2754）。

仔细扒了扒，我发现这帮大佬的手法真的是“降维打击”。他们没有用什么花里胡哨的0-day去猛攻服务器，而是盯上了大家平时最容易忽视的边缘设备——SOHO（家庭与小型办公）路由器。

今天，咱们就从纯技术的视角，硬核拆解一下APT28是如何利用一台破路由器，完成一整套“漏洞利用 -> DNS劫持 -> AitM（中间人攻击） -> 凭证窃取”的丝滑连招的。这套打法对咱们日常的防御思路，绝对有巨大的启发。

一、突破口：边缘设备的“裸奔”与 CVE-2023-50224

咱们搞技术的都知道，企业内网的安全防御通常做得很重（EDR、NDR、零信任全上），但处于边界的路由器、防火墙往往是个黑盒，一旦配置不当或者缺乏补丁管理，就成了任人宰割的肉鸡。

APT28 这次主要拿捏的是 TP-Link（特别是 WR841N 型号） 和 MikroTik 的路由器。他们是怎么进去的呢？重点看这个漏洞：CVE-2023-50224（CVSS评分高达 6.5）。

技术拆解：

这是一个典型的身份验证绕过漏洞。在特定的 TP-Link 设备固件中，攻击者不需要输入什么复杂的账号密码，直接通过精心构造的 HTTP GET 请求，就能欺骗设备的 Web 管理服务，直接把存储在设备里的管理员凭证给 Dump 出来。

拿到管理员权限后，APT28 并没有像低级黑客那样急着种挖矿木马或者搞破坏，而是悄咪咪地获取了远程管理权限，开始了一场“放长线钓大鱼”的隐蔽操作。

二、偷天换日：极度隐蔽的 DNS 劫持

控制了路由器之后，APT28 走了一步妙棋——修改路由器的默认 DNS 解析器。

为什么要这么干？为了绕过端点防御。

你想想，如果黑客直接在用户的电脑上装恶意软件，杀毒软件分分钟就报警了。但如果黑客在网关层把 DNS 给改了，用户侧是完全无感的，甚至连杀软都不会察觉异常。

APT28 将路由器的上游 DNS 指向了他们自己控制的恶意 DNS 服务器。
当内网里的受害者尝试访问某些特定的高价值目标（比如微软 Outlook Web App 邮箱登录页）时，路由器就会向黑客的 DNS 服务器发请求。
恶意 DNS 服务器顺水推舟，返回一个伪造的 IP 地址。

就这样，受害者的流量神不知鬼不觉地被引流到了攻击者的节点上。整个过程，用户根本不需要点任何钓鱼链接，防不胜防！

三、高端局：AitM（中间人攻击）与凭证收割

流量导过来了，怎么拿到密码和 OAuth Token 呢？这里就到了整条攻击链路最核心的难点：AitM（Attacker-in-the-Middle）中间人攻击。

现代的 Web 服务基本都是全站 HTTPS（TLS加密）的，而且很多还开启了 MFA（多因素认证）。普通的流量嗅探根本解不开包。

APT28 的解法是：建一个“反向代理”式的钓鱼节点。

流量劫持：

恶意 DNS 返回的 IP，实际上是 APT28 部署的 AitM 节点。
无缝代理：

这个节点同时与受害者和真实的服务器建立连接。受害者看到的登录页面，是 AitM 节点从微软真实服务器上实时“拉取”过来的。
凭证截获：

当受害者输入账号密码，甚至填入手机验证码（MFA）时，这些数据首先会流经 AitM 节点。黑客在中间不仅把密码存了一份，还顺手把通过 MFA 验证后生成的 Session Cookie (会话令牌) 给劫持了！

拿到 Session Cookie，黑客就可以完全绕过账号密码和 MFA，直接以受害者的身份登录真实系统，窃取机密邮件和数据。微软在报告中特意强调，这是首次观察到该国家级黑客组织，在大规模实战中利用边缘设备的 DNS 劫持来支撑 TLS 的 AitM 攻击。

四、恐怖的规模与“自动化漏斗”

这场名为 FrostArmada 的行动规模有多大？

根据情报显示，这场行动最早可以追溯到 2025年5月，到 2025年12月 达到顶峰时，全球有超过 120个国家、至少 18,000 个独立 IP 都在跟 APT28 的基础设施通信。受害者遍布北非、中美洲、东南亚和欧洲的政府机构、军方和关键基础设施。

但随之而来的是一个巨大的技术挑战：几万台路由器每天产生的 DNS 请求是海量的，黑客怎么从这些垃圾流量里筛选出有价值的“大鱼”？

英国 NCSC（国家网络安全中心）点出了其中的门道：自动化过滤漏斗。

APT28 构建了两层网络架构：

第一层（探针层）：

收集并接收所有被黑路由器的 DNS 请求。他们写了自动化的过滤脚本，只拦截他们感兴趣的域名（比如政府邮箱、特定的云服务登录口），其余无关流量直接放行（保证用户正常上网，不引起怀疑）。
第二层（核心层）：

将筛选出的高价值目标的请求，转发到远程的、更隐蔽的攻击者自有服务器上，精准实施 AitM 攻击。

这套架构既保证了广撒网的覆盖面，又避免了核心节点因为流量过大而暴露，可以说是把工程化思维运用到了极致。

五、防不胜防，我们该怎么办？

虽然这次联合行动端掉了 APT28 的部分基础设施，但这种“降维打击”的思路绝对不会绝迹。

对于咱们从事 IT 运维、网络安全甚至只是在小公司管管 IT 的兄弟们来说，这次事件敲响了几个警钟：

边缘设备不能“放养”：

别以为路由器在内网最外层就安全了。弱口令、默认密码必须改！固件必须定期升级！漏洞（尤其是像 CVE-2023-50224 这种可以直接 Bypass 的）必须第一时间打补丁。
DNS 监控盲区：

你的内网有监控 DNS 解析的异常变更吗？很多时候，EDR 查不出问题，往往是因为底层的网络协议已经被篡改了。
零信任与设备指纹：

面对高级的 AitM 攻击，单纯的账号密码甚至 MFA 都已经不靠谱了。结合设备指纹验证、FIDO2 硬件安全密钥等，才能在 Cookie 被盗时拦住黑客的脚步。

大家在自己的公司/家里，有没有留意过路由器的安全配置呢？你在实战中遇到过类似隐蔽的 DNS 劫持吗？欢迎在评论区留言，咱们一起探讨交流！

如果觉得这篇文章对你有启发，别忘了点个【在看】和【赞】！ 顺手转发给你的运维和安全圈兄弟们，提醒他们赶紧去查查自家的路由器！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《拿捏1.8万台设备！从CVE-2023-50224看APT组织如何玩转边缘设备渗透》