資安研究人員發現,一個名為「TheWizards」的中國進階持續性威脅(APT)組織正在使用一款名為「Spellbinder」的橫向移動工具,該工具能夠通過 IPv6 無狀態位址自動設定(SLAAC)欺騙技術執行中間人(AitM)攻擊。
ESET 研究員 Facundo Muñoz 表示:「Spellbinder 利用 IPv6 無狀態位址自動設定(SLAAC)欺騙技術,能在已遭入侵的網路中進行橫向移動,不僅可攔截數據包,還能重定向合法中國軟體的流量,迫使這些軟體從攻擊者控制的伺服器下載惡意更新。」
這種攻擊手法主要是劫持搜狗拼音等中國軟體的更新機制,傳遞惡意下載器,進而投放一個稱為 WizardNet 的模組化後門程式。這並非中國威脅行為者首次濫用搜狗拼音的軟體更新過程來傳遞惡意軟體。2024 年 1 月,ESET 曾揭露另一個名為 Blackwood 的駭客組織利用這款中文輸入法軟體的更新機制部署了一個名為 NSPX30 的植入程式。
相關文章:超強後門!中國APT攻擊者「黑木」已潛伏5年以上
據 ESET 報告,TheWizards 組織自 2022 年起一直活躍,主要針對柬埔寨、香港、中國大陸、菲律賓和阿拉伯聯合大公國的個人和博弈業。
在攻擊過程中,Spellbinder 工具主要透過濫用 IPv6 的網路發現協議來執行中間人攻擊。它會發送 ICMPv6 路由器廣告(RA)訊息,偽裝成網路中的IPv6路由器,誘導支援IPv6的主機或正在搜尋IPv6路由器的設備,將其設定為預設網關。
ESET 解釋:「Spellbinder 每 200 毫秒向 ff02::1(「所有節點」)發送一次多播路由器廣告數據包;網路中已啟用 IPv6 的 Windows 機器會根據這些 RA 訊息提供的資訊,通過無狀態位址自動設定(SLAAC)進行自動配置。這導致這些設備開始將 IPv6 流量傳送至運行 Spellbinder 的機器,攻擊者可在此攔截、分析並選擇性地回應這些數據包。」
在一次 2024 年的攻擊案例中,威脅行為者利用這種方法在 DNS 層劫持了騰訊 QQ 的軟體更新過程,供應了一個特洛伊化版本,隨後部署了 WizardNet 後門,該後門能夠接收並在受感染主機上運行 .NET 有效載荷。
Spellbinder 透過攔截軟體更新域名(如「update.browser.qq[.]com」)的 DNS 查詢,並發送含有攻擊者控制的伺服器 IP 地址:
43.155.62[.]54 的 DNS 響應來實現攻擊。該伺服器託管著惡意更新檔案。
據研究人員發現,Spellbinder 監視的目標域名屬於多個流行的中國平台,包括騰訊、百度、迅雷、優酷、愛奇藝、金山、芒果TV、風行、有道、小米、小米 MIUI、PPLIVE、美圖、奇虎360 和暴風。
值得注意的是,TheWizards 的攻擊武器庫中還有一款名為 DarkNights(也被稱為 DarkNimbus)的工具,趨勢科技曾將其歸因於另一個中國駭客組織 Earth Minotaur。然而,基於工具組合、基礎設施和攻擊目標等方面的差異,研究人員認為這兩個組織是各自獨立運作的威脅行為者。
研究人員發現,一家名為四川電科網絡安全科技有限公司(又名 UPSEC)的中國公安部承包商是 DarkNimbus 惡意軟體的供應商。
為了防範這類攻擊,專家建議組織監控 IPv6 流量或在不需要的環境中關閉該協議。此外,定期更新所有軟體和應用程式,並從官方來源獲取更新,也是緩解此類威脅的有效措施。