🔥 この記事の詳細
2026-04-10 更新
C
月内に

APT28(Fancy Bear)が、MikroTikおよびTP-Linkのルーターの脆弱性を悪用してDNS設定を書き換える「FrostArmada」キャンペー…

脆弱性🌐 英語ソース
📅 2026-04-10📰 xakep
📌 一言でいうと
APT28(Fancy Bear)が、MikroTikおよびTP-Linkのルーターの脆弱性を悪用してDNS設定を書き換える「FrostArmada」キャンペーンを展開しました。攻撃者はDNSリゾルバーを制御下に置き、トラフィックをリダイレクトさせることで認証情報を窃取していました。世界120カ国以上の政府機関やITプロバイダーなど、200以上の組織が影響を受けた可能性があります。
🏢影響範囲
北アフリカ、中央アメリカ、東南アジア、欧州の政府機関(外務省、法執行機関)およびITプロバイダー。特にMikroTikおよびTP-Linkルーターを利用している組織。
該当時の対応
ルーターのファームウェアを最新バージョンに更新し、不要なリモート管理機能を無効化すること。また、DNS設定に不審な変更がないか定期的に監査することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】APT28によるルーター脆弱性を悪用したDNSハイジャック(FrostArmada)について

お疲れさまです。APT28によるルーター攻撃に関する情報共有です。

■ 概要
APT28(Fancy Bear)がMikroTikおよびTP-Linkルーターの脆弱性を悪用し、DNS設定を書き換えてトラフィックを傍受する「FrostArmada」キャンペーンが確認されました。これにより、ネットワーク内のデバイスからのDNSリクエストが攻撃者のサーバーへ誘導され、認証情報の窃取が行われます。

■ 影響範囲
- 対象製品: MikroTikおよびTP-Link製ルーター
- 影響組織: 政府機関、ITプロバイダー等(世界120カ国以上)

■ 対応手順
1. 運用中のルーター(特にMikroTik/TP-Link)のファームウェアを最新版にアップデートしてください。
2. ルーターのDNS設定を確認し、意図しない外部DNSサーバーが指定されていないか検証してください。
3. WAN側からの管理インターフェースへのアクセスを制限し、不要なサービスを停止してください。

■ 参考情報
- Lumen Black Lotus Labs / Microsoft Threat Intelligence

対応優先度: 高
対応期限: 速やかに実施
Subject: [Security Alert] DNS Hijacking via Router Vulnerabilities by APT28 (FrostArmada)

Dear Team,

We are sharing intelligence regarding the 'FrostArmada' campaign attributed to APT28 (Fancy Bear).

■ Overview
APT28 has been exploiting vulnerabilities in MikroTik and TP-Link routers to modify DNS resolver settings. This allows the attackers to redirect network traffic to their controlled servers and harvest sensitive credentials.

■ Scope of Impact
- Affected Products: MikroTik and TP-Link routers
- Affected Sectors: Government agencies, IT providers across 120+ countries

■ Mitigation Steps
1. Update all MikroTik and TP-Link router firmware to the latest available versions.
2. Audit DNS configurations on edge devices to ensure no unauthorized DNS servers are configured.
3. Disable remote management interfaces on the WAN side and restrict access to trusted IPs only.

■ Reference
- Lumen Black Lotus Labs / Microsoft Threat Intelligence

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-04-10 のまとめ🔍 記事を検索