گروه تهدید TheWizards با سوء منفعت گیری از ویژگی IPv6 SLAAC توانسته مسیر به روز رسانی نرم افزارهای مشروع را منحرف کند و نسخه های آلوده را به دستگاه قربانی رساند. پژوهشگران ای ست (ESET) می گویند این گروه همسو با چین از سال ۲۰۲۲ فعال بوده و با ابزار Spellbinder حملات adversary-in-the-middle را در شبکه های مقصد اجرا کرده است.

به نقل از رسانه اخبار فناوری تکنا، SLAAC یا Stateless Address Autoconfiguration قابلیتی در IPv6 است که به دستگاهها اجازه می دهد بدون نیاز به سرور DHCP، آدرس شبکه خود را تنظیم کنند. مهاجمان در این کارزار با ارسال پیامهای جعلی Router Advertisement کاری می کنند که دستگاه قربانی سیستم مهاجم را روتر معتبر تشخیص دهد و ترافیک اینترنت خود را از مسیر او عبور دهد.

ابزار Spellbinder بعد از نفوذ اولیه به شبکه مقصد مستقر می شود و با منفعت گیری از WinPcap بسته های شبکه را شنود و در زمان ملزوم به آنها جواب می دهد. این ابزار سپس دعوا SLAAC spoofing را فعال می کند تا ترافیک قربانی از مسیر مهاجم عبور کند. نتیجه، کنترل پنهانی بر درخواستهای شبکه و امکان دستکاری فرایندهای به روز رسانی است.

بعد از قرار گرفتن مهاجم در میانه ربط، Spellbinder درخواستهای DNS مربوط به دامنه های به روز رسانی نرم افزارهای واقعی را رهگیری و به سرور تحت کنترل مهاجم هدایت می کند. در این مرحله، کاربر فکر می کند در حال دریافت به روز رسانی قانونی است، اما فایل آلوده شامل backdoor با نام WizardNet روی سیستم او اجرا می شود.

WizardNet یک implant ماژولار مبتنی بر .NET است که به کنترل کننده راه دور متصل می شود و ماژولهای اضافی را روی دستگاه قربانی اجرا می کند. این بدافزار می تواند داده های سیستم را استخراج کند، فهرست فرایندهای در حال اجرا را بگیرد، ماژولهای .NET را در حافظه اجرا کند و با ربط رمزنگاری شده TCP یا UDP ماندگاری خود را نگه داری کند.

در یکی از نمونه های بازدید شده، سازوکار به روز رسانی Tencent QQ برای رساندن بدافزار به قربانیان دستکاری شده می بود. ای ست این چنین می گوید Spellbinder دامنه های مرتبط با شرکتها و سرویسهایی همانند Tencent، Baidu، Xunlei، Youku، iQIYI، Kingsoft، Mango TV، Xiaomi، PPLive، Meitu، Qihoo 360 و Baofeng را زیر نظر داشته است.

دامنه مقصد گیری TheWizards زیاد تر در آسیا و خاورمیانه دیده شده است. بر پایه داده های تله متری ای ست، قربانیان شامل افراد، شرکتهای فعال در حوزه gambling و نهادهای ناشناس در فیلیپین، کامبوج، امارات متحده عربی، سرزمین مهم چین و هنگ کنگ بوده اند. این الگو نشان می دهد دعوا زیاد تر به جاسوسی و دسترسی پایدار شباهت دارد.

پژوهشگران این چنین ارتباطهایی بین TheWizards و شرکت چینی دیانکه نتورک سکیوریتی تکنولوژی (Dianke Network Security Technology) که با نام UPSEC هم شناخته می شود نقل کرده اند. ای ست می گوید زیرساخت و ابزارهای مشاهده شده با فعالیتهای این شرکت همپوشانی دارند، هرچند این چنین پیوندهایی طبق معمول در دنیای عملیات سایبری به بازدید فنی و اطلاعات تکمیلی نیاز دارند.

اهمیت این دعوا در این است که از یک قابلیت عادی شبکه ای سوء منفعت گیری می کند، نه از یک صدمه پذیری کلاسیک در نرم افزار کاربر. تعداد بسیاری از سازمانها IPv6 را فعال دارند، اما ترافیک آن را به دقت IPv4 پایش نمی کنند. همین شکاف نظارتی علتمی شود مهاجم بدون جلب دقت، مسیر شبکه داخلی و به روز رسانی نرم افزارها را تحول دهد.

راهکار دفاعی مهم، پایش فعال ترافیک IPv6، بازدید پیامهای Router Advertisement و محدود کردن SLAAC در شبکه هایی است که به آن نیاز ندارند. سازمانها باید مسیرهای به روز رسانی نرم افزار را با DNS امن، اعتبارسنجی گواهی، کنترل امضای فایل و ثبت رویدادهای شبکه بازدید کنند. غیرفعال کردن IPv6 در محیطهای غیرنیازمند نیز می تواند سطح دعوا را افت دهد.