Хакеры перенаправляют сетевой трафик через уязвимость IPv6 и внедряют вредоносные обновления

Группа киберпреступников, известная под названием TheWizards, запустила сложную атаку, опираясь на слабое место в протоколе IPv6. Обнаруженное специалистами компании ESET вмешательство затрагивает компонент SLAAC, отвечающий за автоматическую настройку адресов. Через него злоумышленники получают контроль над сетевыми потоками и внедряют поддельные пакеты обновлений, содержащие вредоносное программное обеспечение.

По информации, опубликованной исследователями ESET, инструмент под названием Spellbinder позволяет атакующим подменять сетевые сообщения, отправляемые от имени маршрутизаторов. Как только устройство получает такую поддельную инструкцию, оно автоматически начинает направлять трафик через сервер, находящийся под контролем хакеров. Суть схемы заключается в подмене процесса автоконфигурации адресов, что в профессиональной среде называется SLAAC spoofing.

Манипулируя сетевыми настройками, TheWizards используют Spellbinder, чтобы вмешаться в процедуру обновления программ. При попытке устройства скачать обновление с привычного ресурса, оно получает вредоносный файл, вшитый в якобы легитимный пакет. Так на устройство попадает бэкдор под названием WizardNet. Через него осуществляется дальнейшее проникновение: создаётся удалённое соединение с применением TCP или UDP, используется механизм SessionKey, основанный на характеристиках системы, а передача данных шифруется при помощи алгоритма AES.

Как подчёркивают в ESET, вредонос не только собирает информацию о запущенных процессах и системных данных, но и способен динамически загружать и исполнять модули .NET прямо в оперативной памяти. Это позволяет злоумышленникам сохранять доступ к устройству и расширять арсенал без необходимости дополнительной установки программ.

По оценке специалистов, деятельность TheWizards отслеживается с 2022 года. Под прицел попали пользователи и компании, расположенные в Китае, Гонконге, Камбодже, ОАЭ и на Филиппинах. Есть основания полагать, что вредоносные серверы, распространяющие поддельные обновления, всё ещё функционируют.

Анализ активности Spellbinder показывает, что объектами слежки становятся обращения к множеству популярных онлайн-платформ: Tencent, Baidu, Youku, iQIYI, Xiaomi, Meitu, Funshion, Mango TV и другим сервисам. Перехват трафика позволяет внедрять поддельные ответы и вмешиваться в рабочие процессы пользователя.