Дослідники з компанії ESET виявили масштабну кампанію цільових кібератак, що проводиться китайським угрупованням TheWizards. Зловмисники розробили інноваційний метод компрометації корпоративних мереж, використовуючи особливості протоколу IPv6 для перехоплення та підміни легітимних оновлень програмного забезпечення.
Технічні особливості нової кіберзагрози
Центральним елементом атак є шкідливе програмне забезпечення Spellbinder, яке експлуатує механізм IPv6 Stateless Address Autoconfiguration (SLAAC). Цей компонент мережевого протоколу, призначений для автоматичної конфігурації пристроїв, стає вразливим місцем в системі безпеки. Зловмисники використовують підроблені Router Advertisement повідомлення для перенаправлення мережевого трафіку через підконтрольні їм сервери.
Масштаби та цільові об’єкти кампанії
З початку 2022 року група TheWizards сконцентрувала свої атаки на організаціях в країнах Азії – Філіппінах, Камбоджі, ОАЕ, Китаї та Гонконгу. Під прицілом опинились приватні особи, компанії грального бізнесу та комерційні структури. Особливу увагу хакери приділяють компрометації систем оновлення китайських технологічних гігантів, включаючи Tencent, Baidu та Xiaomi.
Механізм зараження та наслідки атак
Розповсюдження шкідливого ПЗ відбувається через замаскований під антивірусне програмне забезпечення архів AVGApplicationFrameHostS.zip. Після активації Spellbinder починає перехоплювати мережевий трафік та підміняти легітимні оновлення шкідливими версіями, які встановлюють бекдор WizardNet. Це забезпечує постійний доступ до скомпрометованих систем та можливість подальшого розширення атаки.
Рекомендації щодо захисту інформаційних систем
Експерти з кібербезпеки рекомендують впровадити комплексний підхід до захисту корпоративних мереж:
– Налаштувати постійний моніторинг IPv6-трафіку
– Впровадити сучасні системи виявлення та запобігання вторгненням
– За відсутності критичної необхідності – деактивувати протокол IPv6
– Регулярно оновлювати системи безпеки та проводити аудит мережевої інфраструктури
Виявлена кампанія демонструє еволюцію сучасних кіберзагроз та необхідність постійного вдосконалення систем захисту. Особливу увагу організаціям слід приділити безпеці механізмів оновлення програмного забезпечення та контролю за мережевим трафіком на рівні протоколів маршрутизації. Своєчасне виявлення та реагування на подібні загрози стає критичним фактором забезпечення кібербезпеки підприємств.
