Eine koordinierte internationale Operation zwischen Behörden und Privatunternehmen hat eine anspruchsvolle Kampagne, die inländische und kleine Bürorouter verwendet, um den Verkehr umzuleiten und Microsoft Anmeldeinformationen zu stehlen. Hinter der Operation war die Gruppe bekannt als APT28 - oft als Fancy Bear oder Sofacy bezeichnet - und dass Cybersicherheitsorganisationen mit russischen Geheimdiensten verbunden sind; ihr technisches Profil kann im öffentlichen Repository von MITRE konsultiert werden MITRE ATT & CK: APT28.
Der Modus operandi war relativ einfach in ihrer Idee, aber in der Praxis effektiv: die Angreifer, die Router, die dem Internet ausgesetzt sind - hauptsächlich MikroTik und TP-Link-Modelle, neben einigen Markengeräten wie Nethesis und alten Fortinet-Modellen - und die DNS-Konfiguration so geändert, dass die Abfragen auf virtuellen Servern, die von ihnen gesteuert wurden, behoben wurden. Durch die Verbreitung dieser neuen Konfiguration an interne Teams durch DHCP konnte der gesamte Nameverkehr am Ende durch die schädliche Infrastruktur gelöst werden, die als Resolver und als Proxy fungierte.
Wenn ein Opfer versuchte, sich an Ziel-Authentifizierungs-Dienste anzumelden, konnte die DNS-Antwort die Proxy-IP anstelle des legitimen Dienstes zurückgeben und so den Fluss auf eine Adversary-in-the-middle (AitM) lenken. In vielen Fällen wäre das einzige sichtbare Zeichen für den Benutzer eine ungültige TLS-Zertifikatsanzeige gewesen, eine Nachricht, die viele Menschen oft von benutzerdefinierten ignorieren. Wurde die Ausschreibung akzeptiert oder weggelassen, könnte der Angreifer die Anfragen beim Sammeln sensibler Daten, einschließlich gültiger Login- und OAuth-Token, an den eigentlichen Dienst zurückschicken.
Die Forschungsteams beschrieben die Kampagne als auf zwei Fronten betrieben: eine widmete sich der Suche und dem Kompromieren von Geräten, um das Botnet zu erweitern, und die andere konzentrierte sich auf die Aufnahme und Sammlung von Anmeldeinformationen. Diese Strategie erlaubte den Angreifern, einen großen Bereich potenzieller Opfer zu bauen und dann unter ihnen diejenigen von wirklichem Interesse zu filtern.
Der Umfang der Bedrohung war bemerkenswert: Am Höhepunkt hatte FrostMarina Ende 2025 zehntausende Geräte in mehr als 100 Ländern erreicht, die hauptsächlich Regierungsbehörden, Sicherheitskräfte, IT-Anbieter und Unterkünfte sowie Organisationen betreffen, die eigene Server oder lokale Postdienste unterhalten. Microsoft und die Black Lotus Labs-Forscher von Lumen erkannten Aktivitäten, die auch On-Premises-Server und einige staatliche Dienste beeinflussten, die bestätigten, dass die Kampagne nicht allein auf Cloud-Konten beschränkt war. Microsoft-Analyse kann in Ihrem technischen Bericht ausführlicher gelesen werden veröffentlicht von der Firma und die britische Cybersecurity-Agentur präsentierte das Problem aus einer Minderungsperspektive in seiner Erklärung des NCSC. Die technischen Indikatoren, die mit der Operation verbunden sind, wurden auch von Forschern in einem Öffentliches Projekt.
Die Zusammenarbeit zwischen Unternehmen und Strafverfolgungsbehörden war der Schlüssel zur Beseitigung der offensiven Infrastruktur aus dem Netz. Microsoft arbeitete mit Lumen zusammen, um die Kampagnenrouten abzubilden und die Opfer zu identifizieren; mit Unterstützung vom FBI, dem US-Justizministerium. Die Vereinigten Staaten und polnischen Behörden deaktivierten die Server, die empfangen und gesendet die schädlichen Konsultationen. Solche koordinierten Maßnahmen zeigen, dass große Vermittlungsoperationen sowohl technische Intelligenz als auch internationale rechtliche Unterstützung erfordern.
Aus technischer Sicht zeigt die Kampagne zwei wiederkehrende Schwächen: einerseits die Belichtung von SOHO-Geräten mit veralteten Konfigurationen oder Firmwänden und andererseits die Abhängigkeit von herkömmlichen DNS-Auflösungsmechanismen ohne zusätzliche Kontrollen. Die Angreifer nutzten diese Kombination aus, um einen groß angelegten Angriff zu implementieren, der keine komplexen Null-Tage-Schwierigkeiten brauchte: Der administrative Zugang zu den Routern reichte aus, um eine Kette aufzuzwingen, die alle Teams hinter sich hatte.
Für Organisationen und Manager sollten Empfehlungen in konkrete und praktische Maßnahmen umgesetzt werden. Zunächst ist es wichtig, die DNS-Konfiguration auf dem Edge-Gerät zu überprüfen und Firmware-Updates auf Router und Firewalls anzuwenden; Off-Support-Geräte müssen ersetzt werden. Für Unternehmensteams kann die Umsetzung von Mobile Device Management (MDM) Richtlinien, die Zertifizierung Pinning implementieren, verhindern, dass ein Zwischen Proxy unerwartete Zertifikate akzeptiert und sofort über Verkehrsinspektionsversuche informiert. Ebenso relevant ist die Minimierung der Perimeter-Exposition: reduzieren öffentlich zugängliche Dienste, Segmentnetzwerke und nutzen Zugriffskontrollen, die Auswirkungen begrenzen, wenn eine Netzwerkbox gefährdet ist.
Aus der Identitätsschicht, obwohl die Kampagne gültige Token OAuth gesammelt hat, gibt es Maßnahmen, die den Schaden reduzieren: strenge Authentifizierungsschutze als Anforderung von Hardware-basierten Verifikationsverfahren zu ermöglichen, Sitzungs- und Widerrufsrichtlinien von Token in Anbetracht des Verdachts von Engagement anzuwenden und bedingte Zugriffsregeln zu verwenden, die geographische oder Geräteanomalien erkennen. Aktive Überwachung und Widerruf verdächtiger Anmeldeinformationen sollten nach einer Ausschreibung Standard-Betriebsverfahren sein.
Schließlich sollte diese Operation als Erinnerung dienen, dass die Internetsicherheit nicht in Rechenzentren beginnt oder endet: Büro- und Haushaltsrouter sind eine kritische Infrastruktur, die die gleiche Aufmerksamkeit bei der Wartung und Überwachung verdient. Die Zusammenarbeit zwischen dem Privatsektor und den Behörden zeigte, dass es möglich ist, umfassende Kampagnen zu mildern, aber die Prävention - durch Aktualisierungen, sichere Konfiguration und digitale Hygienepraktiken - bleibt die wirksamste Verteidigung gegen solche Bedrohungen.
Wenn Sie technische Erkenntnisse vertiefen möchten und IoC haben, um Ihre Umwelt zu überprüfen, siehe Microsoft-Analyse Hier. die Anmerkung des Vereinigten Königreichs NCSC Hier. und die Liste der von Black Lotus Labs veröffentlichten Indikatoren in diesem Repository.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...