Kinijoje suderintas APT grėsmės aktorius, vardu „TheWizards“, piktnaudžiauja IPv6 tinklo funkcija, kad paleistų priešininko vidurio (AITM) atakas, kurias užgrobia programinė įranga atnaujina, kad įdiegtų „Windows“ kenkėjišką programą.
Anot ESET, grupė veikė mažiausiai nuo 2022 m., Taikydama Filipinų, Kambodžos, Jungtinių Arabų Emyratų, Kinijos ir Honkongo subjektus. Aukos yra asmenys, lošimų kompanijos ir kitos organizacijos.
Išpuoliuose naudojamas pritaikytas įrankis, pavadintas „Spellbinder“, kurį „Spellbinder“, kuris piktnaudžiauja „IPv6“ be „Statel“ adreso „Autoconfiguration“ (SLAAC) funkcija, kad galėtų atlikti SLACC atakas.
„SLAAC“ yra IPv6 tinklo protokolo savybė, leidžianti įrenginiams automatiškai sukonfigūruoti savo IP adresus ir numatytąjį šliuzą, nereikalaujant DHCP serverio. Vietoj to, jis naudoja maršrutizatoriaus reklamos (RA) pranešimus, kad gautų IP adresus iš IPv6 palaikomų maršrutizatorių.
„Hacker“ „Spellbinder“ įrankis piktnaudžiauja šia funkcija, siųsdama apgaulingus RA pranešimus per tinklą, todėl netoliese esančios sistemos automatiškai gauna naują IPv6 IP adresą, naujus DNS serverius ir naujus, pageidaujamus IPv6 šliuzus.
Vis dėlto šis numatytasis šliuzas yra „Spellbinder“ įrankio IP adresas, kuris leidžia jam perimti ryšius ir perkelti srautą per užpuoliko kontroliuojamus serverius.
„Spellbinder“ siunčia daugialypės terpės RA paketą kas 200 ms į FF02 :: 1 („Visi mazgai“); „Windows“ mašinos tinkle su „IPv6“ įgalinta „Autoconfigure“, naudodamiesi „Autconfiguration“ automatiniu adresu, naudojant „Esper“, kuriame bus pateikta „IPV6“ srautas į mašinos veikimą, kur pakuotės bus laikomos, ir pakartotinai, ir pakartotinai.
Šaltinis: ESET
ESET teigė, kad atakos diegia „SpellBinder“ naudodami archyvą pavadinimu „AVGApplicationFramehosts.zip“, kuris išgaunamas į katalogą, imituojantį teisėtą programinę įrangą: „%ProgramFiles%\ avg technologijos“.
Šiame kataloge yra AVGAPPlicationFramehost.exe, wsc.dll, log.dat ir teisėta „WinPCap.exe“ kopija. Vykdomasis „WinPCap“ yra naudojamas įkelti kenksmingą wsc.dll, kuris įkelia „SpellBinder“ į atmintį.
Kai įrenginys užkrėstas, „SpellBinder“ pradeda fiksuoti ir analizuoti tinklo srautą, bandantį sujungti konkrečius domenus, pavyzdžiui, susijusius su kinų programinės įrangos atnaujinimo serveriais.
ESET sako, kad kenkėjiškų programų monitoriai, priklausantys šioms įmonėms: „Tencent“, „Baidu“, „Xunlei“, „Youku“, „Iqiyi“, „Kingsoft“, „Mango TV“, „Funshion“, „Yuoodao“, „Xiaomi“, „Xiaomi Miui“, „PPLIVE“, „Meito“, „Quihoo 360“ ir „Baofeng“.
Tada įrankis nukreipia tuos prašymus atsisiųsti ir įdiegti kenksmingus atnaujinimus, kurie diegia galinį duris, pavadintą „WizardNet“.
„WizardNet“ užpakalinis durys suteikia užpuolikams nuolatinę prieigą prie užkrėsto įrenginio ir leidžia jiems prireikus įdiegti papildomą kenkėjišką programą.
Siekdamos apsaugoti nuo šių atakų tipų, organizacijos gali stebėti IPv6 srautą arba išjungti protokolą, jei jo nereikia jų aplinkoje.
Sausio mėn. ESET taip pat pranešė apie kitą įsilaužimo grupę pavadinimu „Blackwood“, užgrobusi WPS biuro programinės įrangos atnaujinimo funkciją, kad įdiegtų kenkėjišką programą.
