Специалисты компании ESET обнаружили новую серию целенаправленных кибератак, проводимых китайской APT-группировкой TheWizards. Злоумышленники используют уникальную технику эксплуатации протокола IPv6 для перехвата и подмены легитимных обновлений программного обеспечения.
Механизм атаки и технические особенности
Основным инструментом атаки является вредоносное ПО Spellbinder, которое злоупотребляет функционалом IPv6 Stateless Address Autoconfiguration (SLAAC). Данная технология позволяет устройствам автоматически настраивать сетевые параметры без использования DHCP-серверов. Spellbinder эксплуатирует этот механизм, отправляя поддельные Router Advertisement (RA) сообщения, что приводит к перенаправлению сетевого трафика через контролируемые злоумышленниками серверы.
География и цели атак
С 2022 года группировка TheWizards активно атакует организации в нескольких странах Азии, включая Филиппины, Камбоджу, ОАЭ, Китай и Гонконг. Среди целей атак — частные лица, игорные компании и коммерческие организации. Особое внимание уделяется компрометации китайских сервисов обновления ПО, включая продукты Tencent, Baidu, Xiaomi и других крупных технологических компаний.
Процесс инфицирования и последствия
Вредоносное ПО распространяется через архив AVGApplicationFrameHostS.zip, маскируясь под легитимное антивирусное программное обеспечение. После установки Spellbinder начинает перехватывать сетевой трафик и подменять легитимные обновления ПО вредоносными версиями, которые устанавливают бэкдор WizardNet. Это обеспечивает злоумышленникам постоянный доступ к зараженным системам и возможность установки дополнительного вредоносного ПО.
Рекомендации по защите
Для защиты от подобных атак специалисты ESET рекомендуют организациям внедрить комплекс защитных мер: тщательно мониторить IPv6-трафик, использовать современные системы обнаружения вторжений (IDS/IPS), а также рассмотреть возможность отключения протокола IPv6 в сетевой инфраструктуре, если он не является критически необходимым для работы организации.
Данная кампания демонстрирует растущую сложность современных кибератак и необходимость постоянного совершенствования методов защиты корпоративных сетей. Особое внимание следует уделять безопасности механизмов обновления программного обеспечения и контролю сетевого трафика на уровне протоколов маршрутизации.
