Анализ Spellbinder: хитрые атаки AitM от TheWizards
Источник: www.welivesecurity.com
Исследователи компании ESET провели глубокий анализ нового инструмента бокового перемещения под названием Spellbinder, используемого китайским хакером, известным как TheWizards. Данный инструмент становится важным элементом в технике атак типа «противник посередине» (AitM), что делает его крайне опасным для безопасности сетевых систем.
Как работает Spellbinder?
Tool Spellbinder использует автоконфигурацию IPv6-адресов без учета состояния (SLAAC) для эффективной навигации по скомпрометированным сетям. Основные функции Spellbinder включают:
- Перехват законного трафика обновления программного обеспечения для китайских систем;
- Перенаправление этого трафика на загрузку вредоносных обновлений с контролируемых злоумышленниками серверов;
- Разворачивание загрузчика, который устанавливает модульный бэкдор WizardNet.
Обнаружение и использование вредоносного ПО
Специальное внимание привлекла подозрительная библиотека DLL, связанная с программным обеспечением Sogou Pinyin input method за 2022 год. Эта библиотека использовалась в качестве загрузчика, содержащего зашифрованную полезную информацию, что иллюстрирует сложную цепочку выполнения после компрометации системы.
Кроме того, злоумышленники внедряют легальные программные компоненты, такие как AVGApplicationFrameHost.exe, для облегчения процесса перемещения и перехвата сетевых пакетов с помощью библиотеки WinPcap.
Принципы работы Spellbinder в сети
Spellbinder действует, отправляя многоадресные рекламные пакеты маршрутизатора ICMPv6, что заставляет хосты с поддержкой IPv6 подключаться к вредоносному сетевому интерфейсу. Это создает нюансы, которые часто упускают из виду при конфигурации сети, подкрепленные устоявшимся пониманием протоколов взаимодействия IPv6.
Функциональность бэкдора WizardNet
Бэкдор WizardNet обладает рядом критических функций, включая:
- Обход механизмов безопасности Windows, таких как AMSI;
- Контроль над взломанным компьютером через шелл-код;
- Связь с сервером управления (C&C) с использованием процессов, зависимых от имени процесса;
- Поддержка модулей .NET и применение асимметричного шифрования для обмена данными.
География атак и скоординированные усилия
С 2022 года TheWizards целенаправленно атакует регионы, такие как Филиппины, Камбоджа, ОАЭ и Китай. Компания ESET проводит тщательное отслеживание их операций с помощью телеметрии.
Эта группа также сотрудничает с другими организациями, включая Earth Minotaur от Trend Micro, которая использует их вредоносное ПО в различных контекстах. Установлено, что китайская компания Dianke Network Security Technology была поставщиком вредоносного ПО и участвовала в сомнительных процессах обновления, что подчеркивает скоординированные усилия в области кибершпионажа.
Заключение
ESET продолжает независимое отслеживание деятельности TheWizards, выделяя различные инструменты и цели, связанные с их кампаниями. Актуальные исследования показывают необходимость повышения осведомленности о подобных угрозах на уровне бизнеса и организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
