Een China-uitgelijnde geavanceerde persistente dreiging (APT) -groep genaamd Thewizards is gekoppeld aan een laterale bewegingstool genaamd SpellBinder die de aanvallen van tegenstanders-in-de-midden (AITM) kan vergemakkelijken.
“Spellbinder enables adversary-in-the-middle (AitM) attacks, through IPv6 stateless address autoconfiguration (SLAAC) spoofing, to move laterally in the compromised network, intercepting packets and redirecting the traffic of legitimate Chinese software so that it downloads malicious updates from a server controlled by the attackers,” ESET researcher Facundo Muñoz said in a report shared with The Hacker News.
De aanval maakt de weg vrij voor een kwaadaardige downloader die wordt geleverd door het software -updatemechanisme te kapen dat is geassocieerd met Sogou Pinyin. De downloader fungeert vervolgens als een leiding om een modulair achterdeur codenaam Wizardnet te laten vallen.
Dit is niet de eerste keer dat Chinese dreigingsacteurs het software -updateproces van Sogou Pinyin hebben misbruikt om hun eigen malware te leveren. In januari 2024 beschreef ESET een hackgroep aangeduid als Blackwood die een implantaat met de naam NSPX30 heeft geïmplementeerd door te profiteren van het updatemechanisme van de Software -applicatie van de Chinese invoermethode.
Vervolgens eerder dit jaar onthulde het Slowaakse cybersecurity -bedrijf een ander dreigingscluster dat bekend staat als Plushdaemon die dezelfde techniek gebruikte om een aangepaste downloader te distribueren genaamd Littledaemon.
Het is bekend dat Thewizards APT zich richt op zowel individuen als de goksectoren in Cambodja, Hong Kong, het vasteland van China, de Filippijnen en de Verenigde Arabische Emiraten.
Er zijn aanwijzingen dat de spellbinder IPv6 AITM -tool sinds minstens 2022 door de dreigingsacteur is gebruikt. Hoewel de exacte initiële toegangsvector die in de aanvallen wordt gebruikt in dit stadium onbekend is, wordt succesvolle toegang gevolgd door de levering van een zip -archief dat vier verschillende bestanden bevat: AvGapplicationFrameHost.exe, WSC.DLL, LOG.DAT, en WINPCAP.EXE.
De dreigingsacteurs gaan vervolgens door met het installeren van “winpcap.exe” en voeren “avgapplicationframeHost.exe uit”, waarvan de laatste wordt misbruikt om de DLL te sideload. Het DLL -bestand leest vervolgens ShellCode uit “Log.dat” en voert het uit in het geheugen, waardoor SpellBinder in het proces wordt gestart.
“Spellbinder gebruikt de winpcap -bibliotheek om pakketten vast te leggen en om pakketten te antwoorden wanneer dat nodig is,” legde Muñoz uit. “Het maakt gebruik van IPv6’s Network Discovery Protocol waarin ICMPV6 Router Advertisement (RA) -berichten adverteren dat een IPv6-compatibele router aanwezig is in het netwerk, zodat hosts die IPv6 ondersteunen, of een IPv6-congabele router kunnen aanvragen, het advertentie-apparaat als standaardgateway kan gebruiken.”
In één aanvalsgeval in 2024 wordt gezegd dat de dreigingsacteurs deze methode hebben gebruikt om het software -updateproces voor Tencent QQ op het DNS -niveau te kapen om een Trojanized -versie te bedienen die vervolgens WizardNet implementeert, een modulaire achterdeur die is uitgerust om te ontvangen en te lopen .NET -payloads op de geïnfecteerde host.
Spellbinder trekt dit uit door de DNS-query te onderscheppen voor het software-update-domein (“update.browser.qq (.) Com”) en een DNS-reactie uit te geven met het IP-adres van een aanvaller-gecontroleerde server (“43.155.62 (.) 54”) Hosting the Maleicious Update.
Een ander opmerkelijk hulpmiddel in het arsenaal van Thewizards is Darknights, dat ook Darknimbus wordt genoemd door Trend Micro en is toegeschreven aan een andere Chinese hackgroep die wordt gevolgd als Earth Minotaur. Dat gezegd hebbende, beide clusters worden behandeld als onafhankelijke operators, onder verwijzing naar verschillen in gereedschap, infrastructuur en het richten van voetafdrukken.
Het is sindsdien naar voren gekomen dat een aannemer van een Chinese ministerie van openbare beveiliging genaamd Sichuan Dique Network Security Technology Co., Ltd. (AKA UPSEC) de leverancier van de Darknimbus Malware is.
“Hoewel Thewizards een andere achterdeur voor Windows (WizardNet) gebruikt, is de kapingserver geconfigureerd om Darknights te bedienen voor het bijwerken van applicaties die op Android -apparaten worden uitgevoerd,” zei Muñoz. “Dit geeft aan dat Danke Network Security een digitale kwartiermaster is voor TheWizards Apt Group.”
