Cybersicherheitsforscher von ESET haben eine hochentwickelte Angriffskampagne aufgedeckt, die von der chinesischen APT-Gruppe TheWizards durchgeführt wird. Die Angreifer nutzen dabei eine neuartige Technik, die Schwachstellen im IPv6-Protokoll ausnutzt, um legitime Software-Updates abzufangen und durch schadhaften Code zu ersetzen.
Technische Details der Angriffsmethode
Im Zentrum der Kampagne steht die Spellbinder-Malware, die eine bisher unbekannte Schwachstelle im IPv6 Stateless Address Autoconfiguration (SLAAC) Protokoll ausnutzt. Diese Malware manipuliert Router Advertisement (RA) Nachrichten, wodurch der gesamte Netzwerkverkehr über von den Angreifern kontrollierte Server umgeleitet wird. Diese ausgefeilte Technik ermöglicht es den Cyberkriminellen, Software-Updates im Transit abzufangen und zu modifizieren.
Geografische Ausbreitung und Zielgruppen
Die Angriffskampagne konzentriert sich hauptsächlich auf den asiatischen Raum, wobei Organisationen in den Philippinen, Kambodscha, den Vereinigten Arabischen Emiraten, China und Hongkong zu den Hauptzielen gehören. Besonders betroffen sind Glücksspielunternehmen und kommerzielle Organisationen, wobei ein spezieller Fokus auf der Kompromittierung von Software-Update-Systemen chinesischer Technologieunternehmen wie Tencent, Baidu und Xiaomi liegt.
Infektionskette und technische Besonderheiten
Die initiale Infektion erfolgt durch einen getarnten Archiv-Download namens AVGApplicationFrameHostS.zip, der sich als legitime Antivirensoftware ausgibt. Nach der Installation etabliert die Spellbinder-Malware einen permanenten Zugang zum kompromittierten System durch die Installation des WizardNet-Backdoors, was den Angreifern weitreichende Kontrolle über infizierte Systeme ermöglicht.
Präventive Sicherheitsmaßnahmen
Zur Abwehr dieser Bedrohung empfehlen Sicherheitsexperten folgende Schutzmaßnahmen:
– Implementierung eines robusten IPv6-Traffic-Monitorings
– Einsatz moderner Intrusion Detection Systeme (IDS/IPS)
– Deaktivierung des IPv6-Protokolls in nicht-kritischen Netzwerkumgebungen
– Regelmäßige Überprüfung der Software-Update-Mechanismen
Diese sophistizierte Angriffskampagne unterstreicht die wachsende Bedeutung der Supply-Chain-Sicherheit und die Notwendigkeit einer mehrschichtigen Verteidigungsstrategie. Organisationen sollten ihre Netzwerkinfrastruktur regelmäßig auf Schwachstellen überprüfen und besonderes Augenmerk auf die Sicherheit ihrer Software-Update-Prozesse legen. Die Entwicklung zeigt deutlich, dass traditionelle Sicherheitsmaßnahmen allein nicht mehr ausreichen, um moderne APT-Angriffe effektiv abzuwehren.
