Хакерская группа TheWizards, связанная с Китаем, активно использует передовой инструмент для бокового перемещения под названием Spellbinder, который эксплуатирует уязвимости в протоколе автоконфигурации IPv6. Группа действует как минимум с 2022 года, нацеливаясь на частных лиц и представителей игорного сектора в Камбодже, Гонконге, материковом Китае, на Филиппинах и в Объединенных Арабских Эмиратах.
Spellbinder представляет собой специализированный инструмент для бокового перемещения, позволяющий проводить атаки типа «противник посередине» (AitM) путем подмены автоконфигурации без сохранения состояния IPv6 (SLAAC). Технически инструмент перехватывает сетевые пакеты и перенаправляет трафик легитимного китайского программного обеспечения для загрузки вредоносных обновлений. Для этого Spellbinder использует библиотеку WinPcap для захвата и ответа на пакеты, эксплуатирует протокол обнаружения сети IPv6 и применяет сообщения объявления маршрутизатора ICMPv6, чтобы быть принятым в качестве шлюза по умолчанию.
В ходе атаки злоумышленники развертывают несколько ключевых файлов: AVGApplicationFrameHost.exe, wsc.dll, log.dat и winpcap.exe. Процесс атаки начинается с установки "winpcap.exe", после чего запускается "AVGApplicationFrameHost.exe" для загрузки DLL. Затем DLL считывает шелл-код из "log.dat" и выполняет его в памяти, что приводит к запуску Spellbinder в процессе.
Для доставки вредоносного ПО группа TheWizards компрометирует механизмы обновления популярных китайских программ, таких как Sogou Pinyin и Tencent QQ. Начальная полезная нагрузка представляет собой вредоносный загрузчик, а конечная — модульный бэкдор WizardNet. Например, в 2024 году был зафиксирован случай, когда хакеры перехватили DNS-запрос к "update.browser.qq[.]com", выдали DNS-ответ с контролируемым злоумышленниками IP-адресом "43.155.62[.]54", предоставили троянизированную версию Tencent QQ и в итоге развернули бэкдор WizardNet.
Исследователи связывают деятельность TheWizards с несколькими другими хакерскими группами и инструментами. Группа Blackwood в январе 2024 года развернула имплант NSPX30, используя Sogou Pinyin. Группа PlushDaemon применяла загрузчик LittleDaemon с помощью аналогичной техники. Инструмент DarkNights/DarkNimbus, еще одно оружие в арсенале TheWizards, также приписывается группе Earth Minotaur и, предположительно, поставляется компанией Sichuan Dianke Network Security Technology Co., Ltd. (UPSEC). Примечательно, что если DarkNights/DarkNimbus ориентирован на устройства Android, то WizardNet нацелен на системы Windows.
Эта сложная кампания кибершпионажа была обнаружена и проанализирована Факундо Муньосом из словацкой компании по кибербезопасности ESET. Выявленные тактики показывают растущую изощренность китайских APT-групп в использовании уязвимостей сетевых протоколов для проведения целенаправленных атак.
Данная техника атаки особенно опасна, поскольку эксплуатирует фундаментальные механизмы работы протокола IPv6, который всё шире внедряется в современных сетях. Использование легитимных каналов обновления популярного программного обеспечения делает обнаружение вторжений крайне затруднительным для обычных пользователей и даже для специалистов по безопасности, не применяющих специализированные средства мониторинга сетевого трафика.
Изображение носит иллюстративный характер
Spellbinder представляет собой специализированный инструмент для бокового перемещения, позволяющий проводить атаки типа «противник посередине» (AitM) путем подмены автоконфигурации без сохранения состояния IPv6 (SLAAC). Технически инструмент перехватывает сетевые пакеты и перенаправляет трафик легитимного китайского программного обеспечения для загрузки вредоносных обновлений. Для этого Spellbinder использует библиотеку WinPcap для захвата и ответа на пакеты, эксплуатирует протокол обнаружения сети IPv6 и применяет сообщения объявления маршрутизатора ICMPv6, чтобы быть принятым в качестве шлюза по умолчанию.
В ходе атаки злоумышленники развертывают несколько ключевых файлов: AVGApplicationFrameHost.exe, wsc.dll, log.dat и winpcap.exe. Процесс атаки начинается с установки "winpcap.exe", после чего запускается "AVGApplicationFrameHost.exe" для загрузки DLL. Затем DLL считывает шелл-код из "log.dat" и выполняет его в памяти, что приводит к запуску Spellbinder в процессе.
Для доставки вредоносного ПО группа TheWizards компрометирует механизмы обновления популярных китайских программ, таких как Sogou Pinyin и Tencent QQ. Начальная полезная нагрузка представляет собой вредоносный загрузчик, а конечная — модульный бэкдор WizardNet. Например, в 2024 году был зафиксирован случай, когда хакеры перехватили DNS-запрос к "update.browser.qq[.]com", выдали DNS-ответ с контролируемым злоумышленниками IP-адресом "43.155.62[.]54", предоставили троянизированную версию Tencent QQ и в итоге развернули бэкдор WizardNet.
Исследователи связывают деятельность TheWizards с несколькими другими хакерскими группами и инструментами. Группа Blackwood в январе 2024 года развернула имплант NSPX30, используя Sogou Pinyin. Группа PlushDaemon применяла загрузчик LittleDaemon с помощью аналогичной техники. Инструмент DarkNights/DarkNimbus, еще одно оружие в арсенале TheWizards, также приписывается группе Earth Minotaur и, предположительно, поставляется компанией Sichuan Dianke Network Security Technology Co., Ltd. (UPSEC). Примечательно, что если DarkNights/DarkNimbus ориентирован на устройства Android, то WizardNet нацелен на системы Windows.
Эта сложная кампания кибершпионажа была обнаружена и проанализирована Факундо Муньосом из словацкой компании по кибербезопасности ESET. Выявленные тактики показывают растущую изощренность китайских APT-групп в использовании уязвимостей сетевых протоколов для проведения целенаправленных атак.
Данная техника атаки особенно опасна, поскольку эксплуатирует фундаментальные механизмы работы протокола IPv6, который всё шире внедряется в современных сетях. Использование легитимных каналов обновления популярного программного обеспечения делает обнаружение вторжений крайне затруднительным для обычных пользователей и даже для специалистов по безопасности, не применяющих специализированные средства мониторинга сетевого трафика.