2026-04-16 05:27:06 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 微软警告俄罗斯军事情报组织ForestBlizzard通过入侵SOHO路由器实施DNS劫持与中间人攻击，利用dnsmasq工具监控网络流量并伪造TLS证书拦截Outlook等云服务数据。该活动影响全球超200家组织及5000台设备，微软建议采用零信任DNS、多因素认证及Defender防护措施。 综合评分： 87 文章分类： 威胁情报,漏洞预警,解决方案,网络安全,云安全

cover_image

微软发布与俄罗斯军方有关联的威胁组织 Forest Blizzard利用SOHO路由器中间人攻击警告

原创

ZM ZM

暗镜

2026年4月14日 07:00 北京

在小说阅读器读本章

去阅读

微软发布与俄罗斯军方有关联的威胁组织 Forest Blizzard 警告，该组织一直在入侵家庭和小型办公室中不安全的互联网设备（例如路由器），然后修改其设置，使其成为该组织恶意基础设施的一部分。该威胁组织随后利用这些合法但已被入侵的基础设施来监视其他目标或发起后续攻击。微软威胁情报部门正在分享有关此次攻击活动的信息，旨在提高人们对家庭和小型办公室互联网路由设备不安全所带来的风险的认识，并为用户和组织提供工具，以便在可能受到影响的情况下缓解、检测和追踪这些威胁。

至少从2025年8月起，俄罗斯军事情报组织“森林暴雪”（ Forest Blizzard）及其子组织“风暴-2754”（Storm-2754）大规模利用小型办公室/家庭办公室（SOHO）设备的漏洞，劫持域名系统（DNS）请求，从而收集网络流量。对于像“森林暴雪”这样的国家级黑客组织而言，DNS劫持能够实现持续、被动的大规模网络监控和侦察。

通过入侵位于大型目标上游的边缘设备，攻击者可以利用这些监控或管理不严密的资产，进而入侵企业环境。微软威胁情报已识别出超过 200 家组织和 5000 台消费者设备受到 Forest Blizzard 恶意 DNS 基础设施的影响；遥测数据显示，微软拥有的资产或服务并未受到入侵。

Forest Blizzard 主要收集情报以支持俄罗斯政府的外交政策举措，它也利用其 DNS 劫持活动，对基于传输层安全协议 (TLS) 的 Microsoft Outlook 网络域名发起中间人攻击 (AiTM)。这种攻击能够拦截云端托管内容，影响包括政府、信息技术 (IT)、电信和能源在内的众多行业——这些都是该组织惯常的攻击目标。

虽然专门针对 TLS AiTM 攻击的组织数量仅占存在易受攻击的 SOHO 设备网络的一部分，但微软威胁情报评估认为，攻击者广泛的访问权限可能使其能够发起更大规模的 AiTM 攻击，其中可能包括主动流量拦截。针对 SOHO 设备并非俄罗斯军事情报机构的新策略、技术或程序 (TTP)，但这是微软首次观察到 Forest Blizzard 在利用边缘设备后，大规模使用 DNS 劫持来支持 TLS 连接的 AiTM 攻击。

在本博客中，我们将分享我们对 Forest Blizzard 在此次攻击活动中使用的战术、技术和程序 (TTP) 的分析，以说明威胁行为者如何利用这一攻击面。我们还将概述缓解和保护建议，以减少受感染的小型办公室/家庭办公室 (SOHO) 设备带来的风险，并提供Microsoft Defender检测和威胁搜寻指南，以帮助防御者识别和调查相关的恶意活动。对于企业而言，重视未受管理的 SOHO 设备（尤其是远程和混合办公员工使用的设备）至关重要，因为即使企业环境和云服务本身保持安全，受感染的家庭和小型办公室网络基础设施也可能暴露云访问权限和敏感数据。

DNS劫持攻击链：从受感染的设备到AiTM及其他后续活动

以下各节详细介绍了 Forest Blizzard 针对此次攻击活动的端到端攻击链，从最初访问易受攻击的 SOHO 路由器到攻击者控制的 DNS 解析和 AiTM 活动。

图 1. 通过路由器入侵实现 DNS 劫持

边缘路由器妥协

Forest Blizzard 恶意入侵了小型办公室/家庭办公室 (SOHO) 设备，并篡改了这些设备的默认网络配置，使其使用受其控制的 DNS 解析器。这种恶意重配置导致数千台设备将其 DNS 请求发送到受其控制的服务器。

通常，终端设备通过动态主机配置协议 (DHCP) 从边缘设备获取网络配置设置。利用小型办公室/家庭办公室 (SOHO) 设备只需极少的投入，即可全面了解受感染设备的情况，使攻击者能够收集 DNS 流量并被动地观察 DNS 请求，从而有助于开展后续的收集活动，如下一节所述。

DNS劫持

Forest Blizzard 几乎可以肯定使用了 dnsmasq 工具来执行 DNS 解析，并通过监听 53 端口来响应 DNS 查询。dnsmasq 是一款合法的工具，提供轻量级的网络服务，广泛应用于家用路由器或小型网络中。其服务包括 DNS 转发和缓存以及 DHCP 服务器，这些服务共同实现了向上游 DNS 查询转发和本地网络 IP 地址分配。

中间人攻击

微软威胁情报部门已观察到与初始访问活动相关的AiTM攻击。尽管这些攻击针对不同的终端，但它们都是传输层安全协议（TLS）AiTM攻击，使攻击者能够收集传输中的数据。

在大多数情况下，DNS 请求似乎已被攻击者的基础设施透明地代理，从而确保与合法服务端点的连接不中断。然而，在少数入侵案例中，攻击者伪造了针对特定域名的 DNS 响应，迫使受影响的端点连接到其控制的基础设施。

攻击者控制的恶意基础设施随后会向受害者提供无效的TLS证书，伪造合法的微软服务。如果受感染的用户忽略了关于无效TLS证书的警告，攻击者就可以主动拦截TLS连接中的底层明文流量——其中可能包括电子邮件和其他客户内容。由于Forest Blizzard并非总是在通过DNS劫持获得初始访问权限后才进行恶意攻击，因此攻击者很可能是在入侵后有选择地针对情报优先级较高的目标使用这种攻击手段。

针对 Microsoft 365 域的 AiTM 攻击：微软观察到 Forest Blizzard 对与 Microsoft Outlook 网页版关联的部分域进行了后续 AiTM 操作。
针对特定政府服务器的 AiTM 攻击：微软发现针对非洲至少三个政府组织中非微软托管服务器的独立 AiTM 活动，期间 Forest Blizzard 拦截了 DNS 请求并进行了后续收集。

可能的泄露后活动

Forest Blizzard 的 DNS 劫持和 AiTM 活动使其能够对全球敏感组织进行 DNS 数据收集，这与其长期以来针对重点情报目标进行间谍活动的目的相符。虽然我们目前仅观察到 Forest Blizzard 利用其 DNS 劫持活动进行信息收集，但攻击者可以利用 AiTM 实现其他目的，例如部署恶意软件或发起拒绝服务攻击。

缓解和保护指南

微软建议采取以下缓解措施来防范这种森林暴雪活动：

防止 DNS 劫持

在 Windows 终端上使用零信任 DNS (ZTDNS)强制执行基于域名的网络访问控制，以确保设备仅通过受信任的服务器解析 DNS。
阻止已知或恶意域名以防止基于 DNS 的攻击，并维护详细的 DNS 日志以监控、调查和深入了解异常 DNS 流量。
遵循最佳实践，增强云计算环境下的网络安全。
在 Microsoft Defender for Endpoint 中启用网络保护和Web 保护，以防范恶意网站和基于互联网的威胁。
企业环境中应避免使用家用路由器解决方案。

防范AiTM攻击和凭证盗窃

将组织的身份管理集中到一个统一的平台。如果您的组织采用混合环境，请将本地目录与云目录集成。如果您的组织使用第三方身份管理服务，请确保将这些数据记录到 SIEM 系统中，或将其连接到 Microsoft Entra，以便从集中位置全面监控恶意身份访问。
集中所有身份数据带来的额外好处是，可以促进单点登录 (SSO)的实施，为用户提供更无缝的身份验证过程，还可以配置 Microsoft Entra 的机器学习模型来处理所有身份数据，从而更快、更容易地了解合法访问和恶意访问之间的区别。
建议在执行此操作时同步除管理员和高权限用户帐户之外的所有用户帐户，以在发生安全漏洞时维护本地环境和云环境之间的边界。
严格执行多因素身份验证 (MFA) 并应用条件访问策略，尤其对于特权账户和高风险账户，以降低凭证泄露的影响。除了实施 MFA 之外，还应使用无密码解决方案，例如通行密钥。
通过仅允许从受信任的位置和设备注册 MFA 和密码，可以进一步加强您的密码和 MFA 策略的安全性。
条件访问策略还可以通过增强防钓鱼多因素身份验证来加强特权帐户。
使用Microsoft Authenticator 应用进行密码和 MFA 验证，并结合条件访问策略来补充 MFA ，其中登录请求会使用额外的身份驱动信号进行评估。
实施 持续访问评估并实施登录风险策略，以实现对高风险登录的自动响应。登录风险是指给定身份验证请求未经身份所有者授权的概率。可以通过在条件访问策略中添加登录风险条件来实现基于登录风险的策略，该条件会评估特定用户或用户组的风险级别。根据风险级别（高/中/低），可以配置策略来阻止访问或强制执行多因素身份验证。我们建议对中等风险或更高风险的登录操作要求执行多因素身份验证。
遵循微软事件响应部门概述的系统性身份泄露恢复最佳实践。

Microsoft Defender 检测和搜寻指南

Microsoft Defender用户可参考以下适用检测列表。Microsoft Defender 可协调跨端点、身份、电子邮件和应用程序的检测、预防、调查和响应，从而提供针对此类攻击（例如本博客中讨论的威胁）的集成保护。

Microsoft Defender for Endpoint

以下警报可能指示与此威胁相关的威胁活动。但是，这些警报也可能由无关的威胁活动触发，并且不会在此报告提供的状态卡中进行监控。Microsoft 将与此活动相关的 Forest Blizzard 特定组件跟踪为 Storm-2754。

检测到 Forest Blizzard Actor 活动
风暴-2754 活动

Entra ID 保护

以下 Microsoft Entra ID Protection 风险检测功能可告知 Entra ID 用户风险事件，并可指示相关的威胁活动，包括与 Microsoft 威胁情报研究中发现的已知 Forest Blizzard 攻击模式一致的异常用户活动：

Microsoft Entra 威胁情报（登录）（RiskEventType：调查威胁情报）

威胁狩猎

由于初始入侵和 DNS 修改发生在路由器级别，因此以下狩猎建议侧重于检测入侵后的行为。

修改 DNS 设置

在已确认的活动中，Forest Blizzard 对受感染的 SOHO 设备进行了入侵，导致连接的 Windows 机器上的默认 DNS 设置发生更新。

识别 DNS 设置的异常修改可以作为恶意 DNS 劫持活动的识别依据。
重置 DNS 设置和解决 SOHO 设备易受攻击的问题可以解决此问题，但这些措施无法补救攻击者在后续 AiTM 活动中窃取用户凭据的行为。

妥协后的活动

Forest Blizzard 在被入侵后的 AiTM 活动可能使攻击者能够以合法用户的身份在环境中操作。建立正常用户活动的基线对于识别和调查潜在的异常行为至关重要。对于 Entra 环境，Microsoft Entra ID Protection 提供两份重要的报告，用于日常活动监控：

风险登录报告会显示用户尝试访问和成功访问的活动，而合法所有者可能并未执行登录操作。
风险用户报告会显示可能已被盗用的用户帐户，例如检测到泄露的凭证，或者用户在没有计划出行的情况下从意外地点登录。

防御者可以使用 Microsoft Defender XDR 门户中的以下高级搜索查询来发现高度可疑或成功的高风险登录：

| | | — | | AADSignInEventsBeta | where RiskLevelAggregated == 100 and (ErrorCode == 0 or ErrorCode == 50140) | project Timestamp, Application, LogonType, AccountDisplayName, UserAgent, IPAddress |

窃取凭证后，Forest Blizzard 有可能以合法用户的身份对目标执行一系列活动。对于 Microsoft 365 环境， Defender XDR 门户中CloudAppEvents表中的ActionType “Search” 或 “MailItemsAccessed”可以提供一些关于用户搜索活动的信息，包括 Microsoft Defender for Cloud Apps 连接器，该连接器会显示该用户异常的活动。

| | | — | | CloudAppEvents | where AccountObjectId == " " // limit results to specific suspicious user accounts by adding the user here | where ActionType has_any ("Search", "MailItemsAccessed") |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《微软发布与俄罗斯军方有关联的威胁组织 Forest Blizzard利用SOHO路由器中间人攻击警告》