Security

DNS-kapringsangreb via SOHO-routere: Microsoft advarer

3 min læsning

Resumé

Microsoft Threat Intelligence oplyser, at Forest Blizzard har kompromitteret sårbare hjemme- og small-office-routere for at kapre DNS-trafik og i nogle tilfælde muliggøre adversary-in-the-middle-angreb mod målrettede forbindelser. Kampagnen er vigtig for IT-teams, fordi uadministrerede SOHO-enheder brugt af fjern- og hybridmedarbejdere kan eksponere cloudadgang og følsomme data, selv når virksomhedsmiljøer forbliver sikre.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsoft har afsløret en storstilet kampagne, hvor Forest Blizzard, en trusselsaktør med tilknytning til russisk militær efterretningstjeneste, kompromitterede sårbare SOHO-routere og ændrede deres DNS-indstillinger. For organisationer med fjern- og hybridmedarbejdere er dette en vigtig påmindelse om, at uadministreret netværksudstyr i hjemmet og på små kontorer kan blive et blindt punkt, som eksponerer adgang til Microsoft 365 og anden følsom trafik.

Hvad er nyt

Ifølge Microsoft Threat Intelligence har aktøren været aktiv siden mindst august 2025 og har brugt kompromitterede edge-enheder til at opbygge ondsindet DNS-infrastruktur i stor skala.

Centrale fund

  • Forest Blizzard ændrede routerkonfigurationer for at pege enheder mod DNS-resolvers kontrolleret af aktøren.
  • Microsoft identificerede mere end 200 organisationer og 5.000 forbrugerenheder, der var påvirket af den ondsindede DNS-infrastruktur.
  • Kampagnen muliggjorde passiv DNS-indsamling og rekognoscering på tværs af målrettede netværk.
  • I en delmængde af tilfældene brugte aktøren denne position til at understøtte Transport Layer Security (TLS) adversary-in-the-middle (AiTM)-angreb.
  • Microsoft observerede efterfølgende målretning mod Outlook on the web-domæner og separat AiTM-aktivitet mod regeringsservere i Afrika.

Hvorfor det er vigtigt for IT-administratorer

Den vigtigste pointe er, at virksomhedens sikkerhedskontroller ikke fuldt ud beskytter trafik, hvis en brugers upstream-router er kompromitteret. En router i hjemmet eller på et lille kontor kan lydløst omdirigere DNS-opslag, hvilket giver en angriber indsigt i de anmodede domæner og i udvalgte scenarier mulighed for at forfalske svar og forsøge trafikaflytning.

For Microsoft 365-kunder er dette især relevant, hvor brugere får adgang til Outlook on the web eller andre cloudtjenester fra uadministrerede netværk. Selv hvis Microsoft-tjenesterne i sig selv ikke er kompromitteret, kan brugere stadig være eksponerede, hvis de ignorerer advarsler om ugyldige TLS-certifikater, eller hvis mistænkelig DNS-aktivitet ikke opdages.

Anbefalede handlinger

Microsoft anbefaler flere øjeblikkelige afværgetiltag:

  • Gennemgå risici knyttet til fjernbrugeres netværksudstyr i hjemmet og på små kontorer.
  • Håndhæv pålidelig DNS-opløsning, hvor det er muligt, herunder Zero Trust DNS (ZTDNS)-kontroller på Windows-endpoints.
  • Aktivér network protection og web protection i Microsoft Defender for Endpoint.
  • Blokér kendte ondsindede domæner, og opbevar detaljerede DNS-logs til overvågning og undersøgelse.
  • Revider router- og edge-enhedskonfigurationer, især DNS- og DHCP-indstillinger.
  • Sørg for, at sårbare SOHO-enheder er patchet, sikkert konfigureret eller udskiftet, hvis de ikke længere understøttes.
  • Træn brugere i ikke at omgå advarsler om TLS-certifikater.

Konklusion

Denne kampagne viser, hvordan angribere kan udnytte svagt administrerede edge-enheder til at få indsigt i enterprise-mål med højere værdi. Sikkerhedsteams bør udvide deres trusselsmodel ud over virksomhedsinfrastrukturen og medregne netværksudstyr til hjemmekontorer som en del af strategier for fjernadgang og beskyttelse af Microsoft 365.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Threat Intelligence
DNS hijackingSOHO routersMicrosoft DefenderAiTMForest Blizzard

Relaterede indlæg

Security

Storm-1175 Medusa ransomware rammer websystemer

Microsoft Threat Intelligence advarer om, at Storm-1175 hurtigt udnytter sårbare internetvendte systemer til at udrulle Medusa ransomware, nogle gange inden for 24 timer efter første adgang. Gruppens fokus på nyligt offentliggjorte sårbarheder, web shells, RMM tools og hurtig lateral bevægelse gør hurtig patching, eksponeringsstyring og detektion efter kompromittering afgørende for forsvarere.

Security

AI-drevet device code phishing eskalerer

Microsoft Defender Security Research beskrev en storstilet phishingkampagne, der misbruger OAuth device code flow med AI-genererede lokkemidler, dynamisk kodegenerering og automatiseret backend-infrastruktur. Kampagnen øger risikoen for organisationer, fordi den forbedrer angribernes succesrate, omgår traditionelle detektionsmønstre og muliggør token-tyveri, vedvarende inbox rules og rekognoscering via Microsoft Graph.

Security

AI-cyberangreb øger trusler i hele angrebskæden

Microsoft advarer om, at trusselsaktører nu indlejrer AI i hele cyberangrebets livscyklus, fra rekognoscering og phishing til malwareudvikling og aktiviteter efter kompromittering. For forsvarere betyder det hurtigere og mere præcise angreb, højere succesrater for phishing og et voksende behov for at styrke identitet, MFA-beskyttelse og synlighed i AI-drevne angrebsflader.

Security

Cookie-styrede PHP-webshells på Linux undviger detektion

Microsoft advarer om, at trusselsaktører bruger HTTP-cookies til at styre PHP-webshells i Linux-hostingmiljøer, hvilket hjælper skadelig kode med at forblive inaktiv, medmindre bestemte cookie-værdier er til stede. Teknikken reducerer synligheden i rutinemæssige logs, understøtter persistens via cron jobs og understreger behovet for stærkere overvågning, webbeskyttelse og endpoint-detektion på hostede Linux-workloads.

Security

Axios npm kompromittering: guide til afhjælpning

Microsoft advarede om, at ondsindede Axios npm-versioner 1.14.1 og 0.30.4 blev brugt i et supply chain-angreb, der tilskrives Sapphire Sleet. Organisationer, der bruger de berørte pakker, bør straks rotere secrets, nedgradere til sikre versioner og gennemgå developer endpoints og CI/CD-systemer for kompromittering.

Security

Sikkerhedsberedskab for kritisk infrastruktur 2026

Microsoft siger, at trusselsmodellen for kritisk infrastruktur har flyttet sig fra opportunistiske angreb til vedvarende, identitetsdrevet adgang designet til fremtidig forstyrrelse. For IT- og sikkerhedsledere er budskabet klart: reducer eksponering, styrk identitetssikkerheden, og valider den operationelle parathed nu, i takt med at regulering og nation-state-aktivitet intensiveres.