APT-группа TheWizards использует подмену SLAAC для осуществления атак злоумышленник посередине

security

Исследователи ESET представили анализ инструмента Spellbinder, который используется злоумышленниками для латерального перемещения при атаках типа злоумышленник посередине (Adversary-in-the-Middle, AiTM).

Описание

Этот инструмент позволяет злоумышленникам перехватывать и перенаправлять трафик китайского программного обеспечения с целью загрузки вредоносных обновлений с сервера, контролируемого ими.

В 2022 году определена подозрительная DLL, загруженная приложением Sogou Pinyin, которая действовала как дроппер для загрузчика, устанавливающего бэкдор WizardNet. Исследование выявило инструмент, позволяющий злоумышленникам проводить атаки с использованием подмены IPv6 SLAAC для перенаправления трафика и доставки вредоносных обновлений на китайское ПО. Известно, что TheWizards ведет активную деятельность, направленную на частные лица и организации в различных регионах.

Spellbinder, обнаруженный и проанализированный в 2022 году, позволяет злоумышленникам захватывать пакеты и перенаправлять их, используя библиотеку WinPcap. Инструмент инициирует захват пакетов, основанный на атаке IPv6 SLAAC и создает потоки для отправки данных в сеть. Также установлены связи между TheWizards и компанией Dianke Network Security Technology, что указывает на источник угрозы.

Атаки типа «злоумышленник посередине» с использованием Spellbinder являются актуальной угрозой с неизменной активностью TheWizards с 2022 года. Исследования показывают использование инструмента для перехвата и перенаправления трафика на контролируемый сервер. Разведывательные данные указывают на географический охват жертв, включая регионы, на которые направлены атаки, и свидетельствует о постоянном развитии инструмента для угрозы кибербезопасности.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Domains
  3. SHA1

IPv4

  • 103.243.181.120
  • 111.13.100.92
  • 43.135.35.84
  • 43.155.116.7
  • 43.155.62.54

Domains

  • assetsqq.com
  • mkdmcdn.com
  • plugin-audiofirstpiece.ml
  • vv.ssl-dns.com

SHA1

  • 0cba19b19df9e2c5ebe55d9de377d26a1a51b70a
  • 1a8147050af6f05dea5fbca1ae1ff2ffd2b68f9c
  • 2d376adf44dbd9cf5db08884e76192d0bc9984c4
  • 4db38a097ae4d5e70b2f51a8ee13b0c1ee01a2a1
  • 5b70a853d8e989ad102d639fbf7636b697313abc
  • 76953e949ac54be8ff3a68794ef1419e9ef9afcb
  • 9784a1483b4586eb12d86e549d39ca4bb63871b8
  • da867188937698c7769861c72f5490cb9c3d4f63
Комментарии: 0