英国网络安全中心警告：俄罗斯国家级黑客正在劫持 TP-Link 和 MicroTik 路由器，窃取 Outlook 凭证调查称 APT28 组织通过篡改 DNS 将流量重定向到攻击者控制的服务器英国国家网络安全中心（NCSC）周二发布警告，称自 2024 年以来，俄罗斯国家黑客组织 APT28 一直利用存在漏洞的小型办公和家庭用（SOHO）路由器，篡改其 DHCP 和 DNS 设置，把下游流量引导到攻击者控制的 DNS 服务器，从而窃取网站和电子邮件服务的密码及认证令牌

Thu, 09 Apr 2026 13:26:09 GMT

英国网络安全中心警告：俄罗斯国家级黑客正在劫持 TP-Link 和 MicroTik 路由器，窃取 Outlook 凭证

调查称 APT28 组织通过篡改 DNS 将流量重定向到攻击者控制的服务器

英国国家网络安全中心（NCSC）周二发布警告，称自 2024 年以来，俄罗斯国家黑客组织 APT28 一直利用存在漏洞的小型办公和家庭用（SOHO）路由器，篡改其 DHCP 和 DNS 设置，把下游流量引导到攻击者控制的 DNS 服务器，从而窃取网站和电子邮件服务的密码及认证令牌。

NCSC 评估认为，APT28“几乎可以肯定”是俄罗斯总参（GRU）下属的第 85 主要特勤中心（军事情报局 26165 部）。

攻击流程

根据该通报，攻击者把虚拟私有服务器设置为恶意的 DNS 解析器，然后通过修改 SOHO 路由器的 DHCP DNS 配置，把这些路由器指向这些恶意解析器。该网络中的笔记本电脑、手机等终端设备会自动继承这些 DNS 设置，随后开始向攻击者控制的服务器发送域名查询。

对某些目标服务（比如登录页面）的域名查询会被重定向到攻击者控制的 IP，这些 IP 托管着“中间人”设施。与此相对的，非目标范围内的请求则会解析到真实的地址，以免中断用户连接。

一旦受害者通过攻击者控制的基础设施连接，APT28 会试图从浏览器和桌面应用中窃取密码以及 OAuth 或其他类似的认证令牌。安全通报列出的目标域名包括 autodiscover-s.outlook.com、imap-mail.outlook.com、outlook.live.com、outlook.office.com 和 outlook.office365.com。

受影响的路由器型号

NCSC 指出，TP‑Link WR841N 路由器是 APT28 利用的目标之一，攻击者可能利用了 CVE‑2023‑50224——一个无需认证的信息泄露漏洞，能通过 HTTP GET 请求获取路由器凭据。拿到凭据后，攻击者会发出第二个 GET 请求修改 DHCP 的 DNS 设置，把主 DNS 指向恶意 IP，把备用 DNS 设置为原先的主 DNS。

通报列出此次攻击中被针对的 20 多款 TP-Link 型号，包含 Archer C5、Archer C7、WDR3500、WDR3600、WDR4300、WR1043ND、MR3420、MR6400（LTE）以及多个版本的 WR740N、WR840N、WR841N、WR842N、WR845N 和 WR941ND。

另有一组攻击者控制的基础设施接收到来自被入侵的 MikroTik 路由器和 TP-Link 设备转发的 DNS 请求，并被用来对少量 MikroTik 路由器进行交互式操作。NCSC 表示这些常位于乌克兰的 MikroTik 设备很可能具有情报价值。

🗒 标签: #路由器 #网络安全 #Outlook
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

Outlook | //iplc.best 搬运分享