Un acteur de menace APT aligné sur la Chine nommé « TheWizards » abuse d’une fonctionnalité de réseau IPv6 pour lancer des attaques d’adversaire au milieu (AitM) qui détournent les mises à jour logicielles pour installer des logiciels malveillants Windows.
Selon ESET, le groupe est actif depuis au moins 2022, ciblant des entités aux Philippines, au Cambodge, aux Émirats arabes unis, en Chine et à Hong Kong. Les victimes comprennent des particuliers, des sociétés de jeux d’argent et d’autres organisations.
Les attaques utilisent un outil personnalisé surnommé « Spellbinder » par ESET qui abuse de la fonctionnalité d’autoconfiguration des adresses sans état IPv6 (SLAAC) pour mener des attaques SLACC.
SLAAC est une fonctionnalité du protocole réseau IPv6 qui permet aux périphériques de configurer automatiquement leurs propres adresses IP et passerelle par défaut sans avoir besoin d’un serveur DHCP. Au lieu de cela, il utilise des messages d’annonce de routeur (RA) pour recevoir des adresses IP des routeurs pris en charge par IPv6.
L’outil Spellbinder du pirate abuse de cette fonctionnalité en envoyant des messages RA usurpés sur le réseau, ce qui fait que les systèmes voisins reçoivent automatiquement une nouvelle adresse IP IPv6, de nouveaux serveurs DNS et une nouvelle passerelle IPv6 préférée.
Cette passerelle par défaut, cependant, est l’adresse IP de l’outil Spellbinder, qui lui permet d’intercepter les communications et de rediriger le trafic via des serveurs contrôlés par des attaquants.
« Spellbinder envoie un paquet RA de multidiffusion toutes les 200 ms à ff02:: 1 (« tous les nœuds »); Les machines Windows du réseau avec IPv6 activé se configureront automatiquement via l’autoconfiguration d’adresse sans état (SLAAC) en utilisant les informations fournies dans le message RA, et commenceront à envoyer du trafic IPv6 à la machine exécutant Spellbinder, où les paquets seront interceptés, analysés et répondus le cas échéant », explique ESET.
ESET a déclaré que les attaques déployaient Spellbinder à l’aide d’une archive nommée AVGApplicationFrameHostS.zip, qui extrait dans un répertoire imitant un logiciel légitime: « % PROGRAMFILES% \ AVG Technologies. »
Dans ce répertoire se trouvent AVGApplicationFrameHost.exe, CSM.dll, journal.dat et une copie légitime de winpcap.exé. L’exécutable WinPcap est utilisé pour charger latéralement le wsc malveillant.dll, qui charge Spellbinder en mémoire.
Une fois qu’un appareil est infecté, Spellbinder commence à capturer et à analyser le trafic réseau qui tente de se connecter à des domaines spécifiques, tels que ceux liés aux serveurs de mise à jour logicielle chinois.
ESET indique que les logiciels malveillants surveillent les domaines appartenant aux sociétés suivantes: Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 et Baofeng.
L’outil redirige ensuite ces demandes pour télécharger et installer des mises à jour malveillantes qui déploient une porte dérobée nommée « WizardNet ». »
La porte dérobée WizardNet donne aux attaquants un accès persistant à l’appareil infecté et leur permet d’installer des logiciels malveillants supplémentaires au besoin.
Pour se protéger contre ces types d’attaques, les organisations peuvent surveiller le trafic IPv6 ou désactiver le protocole s’il n’est pas requis dans leur environnement.
En janvier, ESET a également signalé qu’un autre groupe de piratage nommé « Blackwood » avait détourné la fonctionnalité de mise à jour du logiciel WPS Office pour installer des logiciels malveillants.