SOHO 라우터 DNS 하이재킹을 통한 APT28의 계정 탈취 전략 분석

Context

SOHO 라우터의 취약점을 악용한 DNS 설정 변경 공격 발생. 사용자 트래픽을 공격자 제어 사이트로 리다이렉트하여 자격 증명 탈취. 하위 연결 기기까지 악성 DNS 설정을 상속받는 구조적 취약점 노출.

Technical Solution

• TP-Link, Cisco, MikroTik 등 널리 사용되는 라우터의 취약점 공략
• DNS 서버 설정을 임의로 변경하여 Outlook 등 주요 서비스의 가짜 복제 페이지로 유도
• DNS 하이재킹을 통한 중간자 공격(MITM) 방식으로 사용자 로그인 정보 실시간 수집
• 상위 네트워크 장비 침투를 통해 엔터프라이즈 환경 진입 및 내부 민감 데이터 접근 시도
• Jaguar Tooth 말웨어 배포를 통한 지속적 접근 권한 확보 및 백도어 구축
• 탈취한 인프라를 DDoS 공격 및 추가 말웨어 유포를 위한 봇넷으로 활용

Impact

• 200개 이상의 조직 및 5,000대의 소비자 기기 영향 확인

Key Takeaway

엣지 디바이스의 취약점이 내부망 전체의 신뢰 체계를 무너뜨리는 진입점으로 작용함. 네트워크 경계 보안을 넘어 기기별 최신 펌웨어 관리와 DNS 무결성 검증의 중요성 확인.