Security

SOHO-router DNS-kaping: Microsoft waarschuwt

3 min leestijd

Samenvatting

Microsoft Threat Intelligence meldt dat Forest Blizzard kwetsbare thuis- en small-office-routers heeft gecompromitteerd om DNS-verkeer te kapen en in sommige gevallen adversary-in-the-middle-aanvallen op doelgerichte verbindingen mogelijk te maken. De campagne is relevant voor IT-teams omdat onbeheerde SOHO-apparaten van remote en hybride medewerkers toegang tot cloudservices en gevoelige gegevens kunnen blootstellen, zelfs wanneer bedrijfsomgevingen veilig blijven.

Hulp nodig met Security?Praat met een expert

Introductie

Microsoft heeft een grootschalige campagne onthuld waarbij Forest Blizzard, een dreigingsactor die wordt gelinkt aan de Russische militaire inlichtingendienst, kwetsbare SOHO-routers heeft gecompromitteerd en hun DNS-instellingen heeft gewijzigd. Voor organisaties met remote en hybride medewerkers is dit een belangrijke waarschuwing dat onbeheerde thuis- en small-office-netwerkapparatuur een blinde vlek kan vormen die toegang tot Microsoft 365 en ander gevoelig verkeer blootstelt.

Wat is nieuw

Volgens Microsoft Threat Intelligence is de actor sinds ten minste augustus 2025 actief en heeft deze gecompromitteerde edge-apparaten gebruikt om op grote schaal kwaadaardige DNS-infrastructuur op te bouwen.

Belangrijkste bevindingen

  • Forest Blizzard wijzigde routerconfiguraties zodat apparaten naar door de actor beheerde DNS-resolvers verwezen.
  • Microsoft identificeerde meer dan 200 organisaties en 5.000 consumentenapparaten die door de kwaadaardige DNS-infrastructuur zijn getroffen.
  • De campagne maakte passieve DNS-verzameling en verkenning binnen doelgerichte netwerken mogelijk.
  • In een deel van de gevallen gebruikte de actor deze positie ter ondersteuning van Transport Layer Security (TLS) adversary-in-the-middle (AiTM)-aanvallen.
  • Microsoft nam daaropvolgende targeting waar van Outlook on the web-domeinen en afzonderlijke AiTM-activiteit tegen overheidsservers in Afrika.

Waarom dit belangrijk is voor IT-beheerders

De belangrijkste conclusie is dat securitymaatregelen binnen de onderneming verkeer niet volledig beschermen als de upstream-router van een gebruiker is gecompromitteerd. Een thuis- of small-office-router kan DNS-lookups ongemerkt omleiden, waardoor een aanvaller inzicht krijgt in opgevraagde domeinen en in bepaalde scenario’s de mogelijkheid heeft om antwoorden te vervalsen en verkeer te onderscheppen.

Voor Microsoft 365-klanten is dit vooral relevant wanneer gebruikers Outlook on the web of andere cloudservices benaderen vanaf onbeheerde netwerken. Zelfs als Microsoft-services zelf niet zijn gecompromitteerd, kunnen gebruikers nog steeds risico lopen als zij waarschuwingen voor ongeldige TLS-certificaten negeren of als verdachte DNS-activiteit onopgemerkt blijft.

Aanbevolen acties

Microsoft adviseert verschillende directe mitigerende stappen:

  • Beoordeel de risico’s die samenhangen met thuis- en small-office-netwerkapparatuur van remote gebruikers.
  • Dwing waar mogelijk vertrouwde DNS-resolutie af, inclusief Zero Trust DNS (ZTDNS)-maatregelen op Windows-endpoints.
  • Schakel network protection en web protection in Microsoft Defender for Endpoint in.
  • Blokkeer bekende kwaadaardige domeinen en bewaar gedetailleerde DNS-logs voor monitoring en onderzoek.
  • Controleer configuraties van routers en edge-apparaten, met name DNS- en DHCP-instellingen.
  • Zorg ervoor dat kwetsbare SOHO-apparaten zijn gepatcht, veilig zijn geconfigureerd of worden vervangen als ze niet langer worden ondersteund.
  • Train gebruikers om waarschuwingen voor TLS-certificaten niet te omzeilen.

Conclusie

Deze campagne laat zien hoe aanvallers zwak beheerde edge-apparaten kunnen misbruiken om zicht te krijgen op enterprise-doelen met een hogere waarde. Securityteams moeten hun dreigingsmodel uitbreiden tot buiten de bedrijfsinfrastructuur en thuiswerknetwerkapparatuur meenemen in strategieën voor remote access en bescherming van Microsoft 365.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Threat Intelligence
DNS hijackingSOHO routersMicrosoft DefenderAiTMForest Blizzard

Gerelateerde artikelen

Security

Storm-1175 Medusa ransomware treft websystemen

Microsoft Threat Intelligence waarschuwt dat Storm-1175 kwetsbare internetgerichte systemen razendsnel misbruikt om Medusa ransomware uit te rollen, soms binnen 24 uur na initiële toegang. De focus van de groep op recent bekendgemaakte kwetsbaarheden, web shells, RMM-tools en snelle laterale verplaatsing maakt snelle patching, exposure management en detectie na compromittering cruciaal voor verdedigers.

Security

AI device code phishing-campagne escaleert

Microsoft Defender Security Research beschreef een grootschalige phishingcampagne die misbruik maakt van de OAuth device code flow met AI-gegenereerde lokmiddelen, dynamische codegeneratie en geautomatiseerde backend-infrastructuur. De campagne vergroot het risico voor organisaties doordat ze het slagingspercentage van aanvallers verhoogt, traditionele detectiepatronen omzeilt en tokendiefstal, persistente inboxregels en Microsoft Graph-verkenning mogelijk maakt.

Security

AI-cyberaanvallen versnellen de aanvalsketen

Microsoft waarschuwt dat dreigingsactoren AI nu inzetten in de volledige cyberaanvallevenscyclus, van verkenning en phishing tot malwareontwikkeling en activiteiten na een compromis. Voor defenders betekent dit snellere, nauwkeurigere aanvallen, hogere phishing-slaagkansen en een groeiende noodzaak om identity-, MFA-bescherming en zichtbaarheid op AI-gestuurde aanvalsoppervlakken te versterken.

Security

PHP-webshells op Linux: cookiegestuurde ontwijking

Microsoft waarschuwt dat dreigingsactoren HTTP-cookies gebruiken om PHP-webshells aan te sturen in Linux-hostingomgevingen, waardoor kwaadaardige code inactief blijft tenzij specifieke cookiewaarden aanwezig zijn. Deze techniek vermindert de zichtbaarheid in routinelogs, ondersteunt persistentie via cron jobs en onderstreept de noodzaak van sterkere monitoring, webbeveiliging en endpointdetectie op gehoste Linux-workloads.

Security

Axios npm supply chain-aanval: mitigatiegids

Microsoft waarschuwde dat kwaadaardige Axios npm-versies 1.14.1 en 0.30.4 zijn gebruikt in een supply chain-aanval die wordt toegeschreven aan Sapphire Sleet. Organisaties die de getroffen pakketten gebruiken, moeten direct secrets roteren, downgraden naar veilige versies en developer endpoints en CI/CD-systemen controleren op compromittering.

Security

Kritieke infrastructuur beveiligingsgereedheid 2026

Microsoft zegt dat het dreigingsmodel voor kritieke infrastructuur is verschoven van opportunistische aanvallen naar persistente, identiteitsgestuurde toegang die is bedoeld voor toekomstige verstoring. Voor IT- en securityleiders is de boodschap duidelijk: beperk blootstelling, versterk identity en valideer nu de operationele gereedheid nu regelgeving en activiteiten van natiestaten toenemen.