Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Функциями IPv6 злоупотребляют для компрометации обновлений (http://txgate.io:443/showthread.php?t=51297330)

WWW 05-26-2025 12:04 PM
<div id="post_message_789865">

Связанная с Китаем APT-группировка TheWizards использует сетевую функциональность IPv6 для проведения атак типа man-in-the-middle, которые перехватывают обновления ПО для установки Windows-малвари.<br/>
<br/>
Как сообщают аналитики компании <a href="https://www.welivesecurity.com/en/eset-research/thewizards-apt-group-slaac-spoofing-adversary-in-the-middle-attacks/" target="_blank">ESET</a>, группировка активна как минимум с 2022 года, атакуя организации на Филиппинах, в Камбодже, Объединенных Арабских Эмиратах, Китае и Гонконге. В числе жертв TheWizards — частные лица, игорные компании и другие организации.<br/>
<br/>
В своих атаках хакеры используют кастомный инструмент Spellbinder, который злоупотребляет функцией IPv6 Stateless Address Autoconfiguration (SLAAC) для проведения <a href="https://xakep.ru/2011/04/05/55305/" target="_blank">SLAAC-атак</a>.<br/>
<br/>
SLAAC — это функция сетевого протокола IPv6, которая позволяет устройствам автоматически настраивать свои собственные IP-адреса и шлюз по умолчанию без использования DHCP-сервера. Вместо этого для получения IP-адресов от маршрутизаторов, поддерживающих протокол IPv6, используются сообщения Router Advertisement (RA).<br/>
<br/>
Spellbinder злоупотребляет этой функциональностью, отправляя поддельные RA-сообщения и заставляя близлежащие системы автоматически получать новый IPv6-адрес, новые DNS-серверы и новый, предпочтительный IPv6-шлюз. Адрес этого шлюза — IP-адрес Spellbinder, что позволяет злоумышленникам перехватывать соединения и перенаправлять трафик через подконтрольные им серверы.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Spellbinder отправляет RA multicast-пакет каждые 200 мс на ff02::1 (все узлы). Windows-машины в сети с включенным IPv6 будут автоматически конфигурироваться с помощью stateless address autoconfiguration (SLAAC), используя информацию, предоставленную в RA-сообщении, и начнут отправлять IPv6-трафик на машину, на которой работает Spellbinder, где пакеты будут перехвачены, проанализированы и отвечены, если это необходимо», — объясняет ESET.</font>
</td>
</tr>
</table>
</div>По словам исследователей, Spellbinder развертывается с помощью архива AVGApplicationFrameHostS.zip, который распаковывается в каталог, имитирующий легитимное ПО: %PROGRAMFILES%\AVG Technologies.<br/>
<br/>
В этой директории находятся AVGApplicationFrameHost.exe, wsc.dll, log.dat и легитимная копия winpcap.exe. Исполняемый файл WinPcap используется для загрузки вредоносной wsc.dll, которая загружает Spellbinder в память.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/511467/figure-41.jpg"/><br/>
<br/>
После заражения устройства Spellbinder начинает перехватывать и анализировать сетевой трафик, отслеживая попытки подключения к ряду доменов, например, связанным с китайскими серверами обновления ПО.<br/>
<br/>
По данным специалистов, малварь отслеживает домены, принадлежащие компаниям: Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Youdao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Qihoo 360 и Baofeng.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/511467/figure-6.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

ipconfig до и после запуска Spellbinder

</td>
</tr>
</table>
</div>Инструмент перенаправляет запросы на загрузку и установку вредоносных обновлений, которые в итоге разворачивают в системах жертв бэкдор WizardNet. Он предоставляет злоумышленникам постоянный доступ к зараженному устройству и позволяет устанавливать дополнительную малварь.<br/>
<br/>
Для защиты от подобных атак ESET рекомендует организациям пристально контролировать трафик IPv6 или вообще отключать этот протокол, если он не используется в их инфраструктуре.<br/>
<br/>
<a href="https://xakep.ru/2025/05/05/spellbinder/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 09:34 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.