Исследователи ESET представили анализ инструмента Spellbinder, который используется злоумышленниками для латерального перемещения при атаках типа злоумышленник посередине (Adversary-in-the-Middle, AiTM).
Описание
Этот инструмент позволяет злоумышленникам перехватывать и перенаправлять трафик китайского программного обеспечения с целью загрузки вредоносных обновлений с сервера, контролируемого ими.
В 2022 году определена подозрительная DLL, загруженная приложением Sogou Pinyin, которая действовала как дроппер для загрузчика, устанавливающего бэкдор WizardNet. Исследование выявило инструмент, позволяющий злоумышленникам проводить атаки с использованием подмены IPv6 SLAAC для перенаправления трафика и доставки вредоносных обновлений на китайское ПО. Известно, что TheWizards ведет активную деятельность, направленную на частные лица и организации в различных регионах.
Spellbinder, обнаруженный и проанализированный в 2022 году, позволяет злоумышленникам захватывать пакеты и перенаправлять их, используя библиотеку WinPcap. Инструмент инициирует захват пакетов, основанный на атаке IPv6 SLAAC и создает потоки для отправки данных в сеть. Также установлены связи между TheWizards и компанией Dianke Network Security Technology, что указывает на источник угрозы.
Атаки типа «злоумышленник посередине» с использованием Spellbinder являются актуальной угрозой с неизменной активностью TheWizards с 2022 года. Исследования показывают использование инструмента для перехвата и перенаправления трафика на контролируемый сервер. Разведывательные данные указывают на географический охват жертв, включая регионы, на которые направлены атаки, и свидетельствует о постоянном развитии инструмента для угрозы кибербезопасности.
Индикаторы компрометации
IPv4
- 103.243.181.120
- 111.13.100.92
- 43.135.35.84
- 43.155.116.7
- 43.155.62.54
Domains
- assetsqq.com
- mkdmcdn.com
- plugin-audiofirstpiece.ml
- vv.ssl-dns.com
SHA1
- 0cba19b19df9e2c5ebe55d9de377d26a1a51b70a
- 1a8147050af6f05dea5fbca1ae1ff2ffd2b68f9c
- 2d376adf44dbd9cf5db08884e76192d0bc9984c4
- 4db38a097ae4d5e70b2f51a8ee13b0c1ee01a2a1
- 5b70a853d8e989ad102d639fbf7636b697313abc
- 76953e949ac54be8ff3a68794ef1419e9ef9afcb
- 9784a1483b4586eb12d86e549d39ca4bb63871b8
- da867188937698c7769861c72f5490cb9c3d4f63