Dnsmasq

🌐 Contexte Source : Microsoft Threat Intelligence Blog, publié le 7 avril 2026. Cet article présente une analyse technique d’une campagne active attribuée à Forest Blizzard (acteur lié au renseignement militaire russe), active depuis au moins août 2025, impliquant la compromission massive de dispositifs SOHO (Small Office/Home Office). 🎯 Acteurs et ciblage Forest Blizzard et son sous-groupe Storm-2754 sont les acteurs identifiés. Plus de 200 organisations et 5 000 appareils grand public ont été impactés. Secteurs ciblés : gouvernement, technologies de l’information, télécommunications, énergie. Des attaques AiTM spécifiques ont visé au moins trois organisations gouvernementales en Afrique. 🔗 Chaîne d’attaque Compromission de routeurs SOHO : exploitation de dispositifs vulnérables pour modifier leur configuration DNS par défaut. DNS Hijacking : redirection des requêtes DNS vers des résolveurs contrôlés par l’acteur via l’outil légitime dnsmasq (port 53). Attaques AiTM sur TLS : dans un sous-ensemble de cas, l’acteur usurpe les réponses DNS pour forcer les victimes à se connecter à une infrastructure malveillante présentant un certificat TLS invalide imitant des services Microsoft. Interception de trafic : si la victime ignore l’avertissement de certificat invalide, l’acteur peut intercepter le trafic en clair, incluant potentiellement emails et contenus cloud. 🛠️ Techniques observées Utilisation de dnsmasq pour la résolution DNS et l’écoute sur le port 53. Proxying transparent des requêtes DNS dans la majorité des cas. Usurpation ciblée de réponses DNS pour des domaines spécifiques dans les cas d’AiTM. Ciblage des domaines Microsoft Outlook on the web pour les attaques AiTM M365. Exploitation des appareils edge en amont des cibles principales pour pivoter vers des environnements enterprise. 📊 Impact Collecte passive de trafic DNS à grande échelle. Interception potentielle d’emails et de contenus cloud. Aucun actif ou service Microsoft directement compromis selon la télémétrie. Accès potentiel à des environnements cloud via des appareils SOHO d’employés en télétravail. 📄 Type d’article Il s’agit d’une analyse de menace publiée par Microsoft Threat Intelligence, dont le but principal est de documenter les TTPs de Forest Blizzard dans cette campagne et de fournir des indicateurs de détection et des requêtes de chasse aux défenseurs. ...

🏛️ Contexte Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS). 🎯 Nature de l’attaque Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter : ...