俄罗斯黑客组织利用老旧SOHO路由器漏洞劫持DNS，窃取Microsoft 365 OAuth令牌

与俄罗斯军方情报部门有关的黑客正利用老旧SOHO路由器中已知的安全漏洞，窃取Microsoft 365用户的OAuth访问令牌

安全专家警告称，攻击者通过DNS劫持将用户流量重定向至受控中间人服务器，在用户无感知状态下捕获登录过程中生成的OAuth令牌及MFA验证后的会话凭证

攻击主要针对已停止厂商支持的TP-Link等品牌老旧型号路由器，利用未修补的远程代码执行或命令注入漏洞获取设备控制权

此类攻击依赖基础设施层操控，无需在终端部署恶意软件

值得注意的是，相关活动与已知的俄罗斯国家级威胁行为体技术特征一致，但目前尚无公开证据表明APT28与APT29存在协同行动

本文来源：Krebs on Security