국제 사법 당국과 민간 기업의 협력으로 러시아 해킹 그룹 APT28(일명 Fancy Bear, Forest Blizzard 등)이 주도한 FrostArmada 캠페인이 차단되었다. 이 캠페인은 MikroTik과 TP-Link 등 소규모 사무실/가정용(SOHO) 라우터의 DNS 설정을 변조해, Microsoft 계정 자격 증명과 OAuth 토큰을 탈취하는 방식으로 진행되었다. 공격자들은 감염된 라우터를 통해 인증 트래픽을 가로채고, 피해자들이 인증 도메인에 접근할 때 악성 VPS로 트래픽을 우회시켜 정보를 탈취했다.
FrostArmada는 2025년 12월 기준 120개국에서 18,000여 대의 장비를 감염시켰으며, 주요 표적은 정부 기관, 법 집행기관, IT 및 호스팅 업체, 자체 서버를 운영하는 조직이었다. Microsoft와 Black Lotus Labs는 악성 활동을 추적해 피해자를 식별했고, FBI, 미국 법무부, 폴란드 정부의 지원으로 공격 인프라를 오프라인으로 전환시켰다. 공격은 라우터의 DHCP 기능을 이용해 내부 네트워크 전체에 악성 DNS 설정을 자동 배포하는 방식으로 이뤄졌으며, 피해자는 TLS 인증서 경고 외에는 별다른 이상 징후를 인지하기 어려웠다.
연구진은 기업용 장비에 인증서 고정(certificate pinning) 적용, 패치 및 노출 최소화, 지원 종료 장비 제거 등 보안 권고를 제시했다. Microsoft와 영국 NCSC는 DNS 하이재킹 탐지 및 방지를 위한 IoC(침해 지표)와 보호 지침을 추가로 제공하고 있다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.