Главная страница » Индикаторы компрометации
0
14 дней
Индикаторы компрометации

APT-группа TheWizards использует подмену SLAAC для осуществления атак злоумышленник посередине

security

Исследователи ESET представили анализ инструмента Spellbinder, который используется злоумышленниками для латерального перемещения при атаках типа злоумышленник посередине (Adversary-in-the-Middle, AiTM).

Описание

Этот инструмент позволяет злоумышленникам перехватывать и перенаправлять трафик китайского программного обеспечения с целью загрузки вредоносных обновлений с сервера, контролируемого ими.

В 2022 году определена подозрительная DLL, загруженная приложением Sogou Pinyin, которая действовала как дроппер для загрузчика, устанавливающего бэкдор WizardNet. Исследование выявило инструмент, позволяющий злоумышленникам проводить атаки с использованием подмены IPv6 SLAAC для перенаправления трафика и доставки вредоносных обновлений на китайское ПО. Известно, что TheWizards ведет активную деятельность, направленную на частные лица и организации в различных регионах.

Spellbinder, обнаруженный и проанализированный в 2022 году, позволяет злоумышленникам захватывать пакеты и перенаправлять их, используя библиотеку WinPcap. Инструмент инициирует захват пакетов, основанный на атаке IPv6 SLAAC и создает потоки для отправки данных в сеть. Также установлены связи между TheWizards и компанией Dianke Network Security Technology, что указывает на источник угрозы.

Атаки типа «злоумышленник посередине» с использованием Spellbinder являются актуальной угрозой с неизменной активностью TheWizards с 2022 года. Исследования показывают использование инструмента для перехвата и перенаправления трафика на контролируемый сервер. Разведывательные данные указывают на географический охват жертв, включая регионы, на которые направлены атаки, и свидетельствует о постоянном развитии инструмента для угрозы кибербезопасности.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Domains
  3. SHA1

IPv4

  • 103.243.181.120
  • 111.13.100.92
  • 43.135.35.84
  • 43.155.116.7
  • 43.155.62.54

Domains

  • assetsqq.com
  • mkdmcdn.com
  • plugin-audiofirstpiece.ml
  • vv.ssl-dns.com

SHA1

  • 0cba19b19df9e2c5ebe55d9de377d26a1a51b70a
  • 1a8147050af6f05dea5fbca1ae1ff2ffd2b68f9c
  • 2d376adf44dbd9cf5db08884e76192d0bc9984c4
  • 4db38a097ae4d5e70b2f51a8ee13b0c1ee01a2a1
  • 5b70a853d8e989ad102d639fbf7636b697313abc
  • 76953e949ac54be8ff3a68794ef1419e9ef9afcb
  • 9784a1483b4586eb12d86e549d39ca4bb63871b8
  • da867188937698c7769861c72f5490cb9c3d4f63
Комментарии: 0
Похожие записи
0
23 часа
Индикаторы компрометации

TA406 начал атаковать правительственные организации

security
Группа TA406 начала атаки на правительственные организации в Украине в феврале 2025 года, используя фишинговые кампании для сбора учетных данных и распространения вредоносного ПО.
0
24 часа
Индикаторы компрометации

Earth Ammit нарушает цепочки поставок дронов с помощью скоординированных многоволновых атак на Тайване

security
Компания Trend Micro Research обнаружила развивающуюся угрозу игрока Earth Ammit, связанную с китайскоязычными APT-группами, которая запустила кампании TIDRONE и VENOM в 2023-2024 годах.
0
24 часа
Индикаторы компрометации

Государственные злоумышленники используют SAP NetWeaver (CVE-2025-31324) для атак на критически важные инфраструктуры

security
Аналитики компании EclecticIQ заявляют о кампаниях эксплуатации с использованием угрозы APT, принадлежащих китайским государствам в апреле 2025 года.
0
2 дня
Индикаторы компрометации

Фишинг на стороне сервера: кампании по краже учетных данных скрываются от посторонних глаз

phishing
Киберпреступники активно совершенствуют методы фишинга, переходя на серверные проверки украденных логинов и паролей, чтобы усложнить обнаружение атак. В новой кампании злоумышленники копируют корпоративные