피드로 돌아가기
El GRU ruso secuestra routers TP-Link domésticos en una operación global: NSA y 16 países urgen reiniciar el tuyo
Dev.toDev.to
Security

APT28의 SOHO 라우터 취약점 기반 DNS Hijacking 및 AitM 공격 분석

El GRU ruso secuestra routers TP-Link domésticos en una operación global: NSA y 16 países urgen reiniciar el tuyo

lu1tr0n2026년 4월 27일8intermediate

AI 요약

Context

SOHO 라우터의 펌웨어 취약점과 기본 설정 유지라는 보안 허점을 이용한 국가 단위의 정찰 체계 구축 사례임. 단순 말웨어를 넘어 네트워크 게이트웨이 제어권을 획득하여 내부망 전체 기기를 대상으로 하는 투명한 트래픽 가로채기 구조를 가짐.

Technical Solution

  • CVE-2023-50224 취약점 및 Default Credential을 통한 Router Admin 권한 획득
  • DHCP 설정 변조를 통한 내부 클라이언트의 DNS Resolver를 공격자 제어 서버로 강제 변경
  • 특정 타겟 서비스(Outlook Web Access 등)에 대해서만 응답을 조작하는 Selective DNS Spoofing 적용
  • SSL/TLS 인증서 경고를 유도하여 사용자의 수락을 이끌어내는 Adversary-in-the-Middle(AitM) 공격 수행
  • 탈취한 세션 토큰 및 NTLMv2 자격 증명을 통한 기업 내부망 침투 및 데이터 exfiltration 수행

실천 포인트

- SOHO 장비의 Default Password 변경 및 최신 펌웨어 업데이트 강제화 - DNS 설정의 무결성 검증 및 기업 자원 접근 시 MFA 기반의 VPN 사용 필수화 - SSL/TLS 인증서 오류 발생 시 접속을 차단하는 엔드포인트 보안 정책 수립 - 외부 비정상 IP(특히 동유럽 지역)로의 지속적인 outbound 커넥션 모니터링

태그

#DNS Spoofing#DHCP Manipulation#Adversary-in-the-Middle#SOHO Security#APT28
원문 읽기