Grupo TheWizards usam IPv6 SLAAC para ataques "Man-in-the-Middle" com ferramenta Spellbinder

Um grupo hacker APT TheWizards, foi associado a uma ferramenta de movimento lateral chamada Spellbinder, capaz de facilitar ataques "man-in-the-middle" (AitM).

De acordo com um relatório do pesquisador da ESET, Facundo Muñoz, o "Spellbinder possibilita ataques 'man-in-the-middle' (AitM) através do spoofing do IPv6 stateless address autoconfiguration (SLAAC), para se mover lateralmente na rede comprometida, interceptando pacotes e redirecionando o tráfego de software chinês legítimo para que ele baixe atualizações maliciosas de um servidor controlado pelos invasores".

O ataque abre caminho para um downloader malicioso que é entregue sequestrando o mecanismo de atualização de software associado ao Sogou Pinyin, um popular editor de método de entrada chinês. O downloader então atua como um canal para instalar um backdoor modular com o codinome WizardNet.

Esta não é a primeira vez que invasores chineses abusam do processo de atualização de software do Sogou Pinyin para distribuir seus próprios malwares. Em janeiro de 2024, a ESET detalhou um grupo hacker chamado Blackwood que implantou um malware chamado NSPX30 aproveitando o mecanismo de atualização do software de método de entrada chinês. Anteriormente neste ano, a empresa de segurança cibernética eslovaca revelou outro grupo de ameaças conhecido como PlushDaemon que utilizou a mesma técnica para distribuir um downloader personalizado chamado LittleDaemon.

O grupo APT TheWizards é conhecido por visar tanto indivíduos quanto os setores de jogos de azar no Camboja, Hong Kong, China Continental, Filipinas e Emirados Árabes Unidos. Evidências sugerem que a ferramenta Spellbinder IPv6 AitM está em uso pelo grupo hacker desde pelo menos 2022.

Embora o vetor de acesso inicial exato usado nos ataques seja desconhecido nesta fase, o acesso bem-sucedido é seguido pela entrega de um arquivo ZIP contendo quatro arquivos diferentes: AVGApplicationFrameHost.exe, wsc.dll, log.dat e winpcap.exe.

Os invasores então procedem à instalação do "winpcap.exe" e executam o "AVGApplicationFrameHost.exe", este último sendo abusado para carregar lateralmente o DLL. O arquivo DLL subsequente lê o shellcode de "log.dat" e o executa na memória, resultando no lançamento do Spellbinder.

"O Spellbinder usa a biblioteca WinPcap para capturar pacotes e responder a eles quando necessário", explicou Muñoz. "Ele se aproveita do Network Discovery Protocol do IPv6, no qual as mensagens ICMPv6 Router Advertisement (RA) anunciam que um roteador compatível com IPv6 está presente na rede, para que hosts que suportam IPv6, ou que estão solicitando um roteador compatível com IPv6, possam adotar o dispositivo anunciante como seu gateway padrão."

Em um caso de ataque observado em 2024, os invasores teriam utilizado esse método para sequestrar o processo de atualização de software do Tencent QQ no nível de DNS para servir uma versão trojanizada que então implanta o WizardNet, um backdoor modular equipado para receber e executar payloads .NET no host infectado.

O Spellbinder realiza isso interceptando a consulta DNS para o domínio de atualização de software ("update.browser.qq[.]com") e emitindo uma resposta DNS com o endereço IP de um servidor controlado pelos invasores ("43.155.62[.]54") hospedando a atualização maliciosa.

Especificamente, ele implementa seu próprio analisador para encontrar pacotes a serem processados e, se uma consulta DNS for encontrada, verifica se o nome de domínio da consulta está presente em uma lista codificada de subdomínios. A lista de domínios alvo pertence a várias plataformas chinesas populares, como Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi e Miui da Xioami, PPLive, Meitu, Quihoo 360 e Baofeng.

Outra ferramenta notável no arsenal do TheWizards é o DarkNights, também chamado de DarkNimbus pela Trend Micro e atribuído a outro grupo hacker chinês rastreado como Earth Minotaur. Dito isso, ambos os grupos estão sendo tratados como operadores independentes, citando diferenças em ferramentas, infraestrutura e padrões de ataque.

Desde então, surgiu que um contratante do ministério de segurança pública chinês chamado Sichuan Dianke Network Security Technology Co., Ltd. (também conhecido como UPSEC) é o fornecedor do malware DarkNimbus. "Embora o TheWizards use um backdoor diferente para Windows (WizardNet), o servidor de sequestro está configurado para servir o DarkNights para aplicações em atualização executadas em dispositivos Android", disse Muñoz. "Isso indica que a Dianke Network Security é um fornecedor digital para o grupo APT TheWizards."

Via - THN