国際的な法執行機関が民間企業と連携し、FrostArmadaを阻止しました。これは、APT28キャンペーンがMikroTikおよびTP-LinkルーターからのローカルトラフィックをハイジャックしてMicrosoftアカウントの認証情報を盗むものでした。 ロシアの脅威グループであるAPT28は、Fancy Bear、Sofacy、Forest Blizzard、Strontium、Storm-2754、Sednitとしても追跡されており、ロシア軍参謀本部情報総局（GRU）第85特殊サービスセンター（GTsSS）軍事部隊26165と関連付けられています。 FrostArmada攻撃では、ハッカーは主に小規模オフィス/ホームオフィス（SOHO）ルーターを侵害し、ドメインネームシステム（DNS）設定を変更して、自らが制御する仮想プライベートサーバー（VPS）に接続させ、DNSリゾルバとして機能させました。 これにより、APT28は標的ドメインへの認証トラフィックを傍受し、Microsoftのログイン情報とOAuthトークンを盗むことが可能になりました。 2025年12月のピーク時には、FrostArmadaは120カ国で18,000台のデバイスに感染し、主に政府機関、法執行機関、ITおよびホスティングプロバイダー、自社サーバーを運用する組織を標的としていました。 このキャンペーンの標的となったMicrosoftは、Lumenの脅威調査・運用部門であるBlack Lotus Labs（BLL）と協力し、悪意のある活動をマッピングし、被害者を特定しました。 FBI、米国司法省、ポーランド政府の支援により、不正なインフラストラクチャはオフラインにされました。 ### FrostArmadaの活動 攻撃者は、主にMikroTikおよびTP-Linkのインターネットに公開されているルーター、およびNethesisの一部のファイアウォール製品や旧型のFortinetモデルを標的としました。 侵害されたデバイスは、攻撃者のインフラストラクチャと通信し、DNS設定の変更を受け取り、トラフィックを悪意のあるVPSノードにリダイレクトしました。 新しいDNS設定は、Dynamic Host Configuration Protocol（DHCP）を介して内部デバイスに自動的にプッシュされました。 クライアントが脅威アクターが標的とした認証関連ドメインをクエリすると、DNSサーバーは実際のIPではなく攻撃者のIPを返し、被害者をAdversary-in-the-Middle（AitM）プロキシにリダイレクトしました。 被害者にとって唯一の不正の兆候は、無効なTLS証明書の警告であり、これは容易に無視される可能性がありました。しかし、このアラートを無視すると、脅威アクターは被害者の暗号化されていないインターネット通信にアクセスできるようになりました。 LumenのBlack Lotus Labsの研究者は、「攻撃者は実質的に、エンドユーザーがDNS経由で誘導されるAitMとしてプロキシサービスを実行していました」と説明しています。 「この攻撃の唯一の兆候は、『break and inspect』構成のために信頼できないソースへの接続に関するポップアップ警告でした。」 「警告が表示され、無視されたりクリックされたりした場合、攻撃者は正規のサービスへのリクエストをプロキシし、中間地点でデータを収集し、有効なOAuthトークンを渡すことで、標的となったアカウントに関連するデータを収集していました。」 Microsoftは本日公開されたレポートで、一部のケースでは、ハッカーが特定のドメインのDNS応答を偽装し、影響を受けたエンドポイントを攻撃インフラストラクチャに接続させていたと述べています。 Lumenによると、FrostArmadaは2つの異なるクラスターで運用されており、1つはデバイスの侵害とボットネットの成長を担当する「Expansion team」、もう1つはAiTMと認証情報収集操作を処理するクラスターでした。  研究者によると、FrostArmadaの活動は、英国のNational Cyber Security Centre（NCSC）がMicrosoftアカウントの認証情報とトークンを標的としたForest Blizzardツールセットについて発表した2025年8月のレポートの後、急増しました。 Microsoftは、APT28がMicrosoft 365サービスに関連するドメインに対してAitM攻撃を実行したことを確認しており、Microsoft Outlook on the webのサブドメインも標的とされていました。 さらに、同社はMicrosoftインフラストラクチャ上でホストされていないアフリカの3つの政府機関に属するサーバーでもこの活動を観測しました。これらの攻撃では、「Forest BlizzardはDNSリクエストを傍受し、フォローオンの収集を実施しました。」 Black Lotus Labsは、脅威アクターがオンプレミスのメールサーバーを持つエンティティや、北アフリカ、中央アメリカ、東南アジアの「少数の政府機関」を標的としていることも観測しました。 研究者は、「また、ある欧州諸国の国家IDプラットフォームとの関連性もありました」と指摘しています。 本日公開されたレポートで、英国の機関は、AitM活動がブラウザセッションとデスクトップアプリケーションの両方に影響を与え、DNSハイジャックは潜在的な標的の大きなプールを構築し、その後関心のあるものをフィルタリングするための機会主義的な性質のものであると考えられていると述べています。 Black Lotus Labsは、FrostArmadaキャンペーン中に使用されたVPSサーバーの[侵害の兆候（indicators of compromise）](https://github.com/blacklotuslabs/IOCs/blob/main/FrostArmada_IOCs.txt)の小さなセットを公開しました。 | IPアドレス | 初回確認日時 | 最終確認日時 | |-------------------|---------------|---------------| | 64.120.31[.]96 | 2025年5月19日 | 2026年3月31日| | 79.141.160[.]78 | 2025年7月19日 | 2026年3月31日| | 23.106.120[.]119 | 2025年7月19日 | 2026年3月31日| | 79.141.173[.]211 | 2025年7月19日 | 2026年3月31日| | 185.117.89[.]32 | 2025年9月9日 | 2025年9月9日| | 185.237.166[.]55 | 2025年12月30日 | 2025年12月30日 | 研究者は、防御者は企業デバイス（ラップトップ、モバイルフォン）にMDMソリューション経由で証明書ピンニングを実装すべきであり、これにより攻撃者がVPSインフラストラクチャ上でトラフィックを傍受・分析しようとした場合にエラーが発生すると指摘しています。 もう一つの推奨事項は、パッチ適用、公開Webでの露出の制限、およびEOL（End-of-Life）機器のすべてを削除することによって、攻撃対象領域を最小限に抑えることです。 MicrosoftとNCSCは、防御者がDNSハイジャック攻撃を特定し、防止するのに役立つIoCと保護ガイダンスのリストも提供しています。