Kompanija za sajber bezbjednost ESET detaljno je analizirala alat koji koristi kineska APT grupa poznata kao TheWizards za izvođenje napada “adversary-in-the-middle” (AitM) i postavljanje backdoora.
Alat, nazvan Spellbinder, omogućava AitM napade i bočno kretanje kroz kompromitovanu mrežu. Oslanja se na IPv6 SLAAC (stateless address auto-configuration) lažiranje, presrećući pakete i preusmjeravajući saobraćaj različitih kineskih aplikacija kako bi se preuzela maliciozna ažuriranja sa servera pod kontrolom napadača.
Otimanjem komunikacije aplikacije sa serverom, TheWizards je ubacivao downloader koji je preuzimao i aktivirao modularni backdoor nazvan WizardNet, objašnjava ESET.
Povezana sa kompanijom Dianke Network Security Technology, kineskom firmom poznatom i kao UPSEC, koja je aktivna najmanje od 2022. godine, grupa TheWizards viđena je kako cilja pojedince i organizacije u Kambodži, Kini, Hong Kongu, Filipinima i Ujedinjenim Arapskim Emiratima.
APT grupa je koristila Spellbinder na kompromitovanim uređajima za presretanje mrežnih paketa i odgovaranje na njih, koristeći WinPcap biblioteku.
Alat može ciljati domene brojnih popularnih kineskih platformi, uključujući Baidu, Baofeng, Funshion, Kingsoft, Mango TV, Quihoo 360, PPLive, Tencent, Yuodao, Xiaomi i druge.
Krajem 2024. godine, Spellbinder je korišćen za otmicu ažuriranja Tencent QQ softvera i za implementaciju download-era koji učitava WizardNet backdoor u memoriju žrtvinog uređaja.
Implant podržava pet komandi za preuzimanje i izvršavanje .NET modula koji proširuju njegovu funkcionalnost, uklanjanje tih modula, pozivanje funkcija iz njih, učitavanje dodatnih klijentskih plugina i slanje sistemskih informacija napadačima.
Analiza malvera koji koristi grupa TheWizards pokazuje da je ova grupa povezana sa kompanijom UPSEC, kineskom firmom koja je ranije identifikovana kao dobavljač malvera DarkNimbus (poznat i kao DarkNights), koji koristi hakerska grupa Earth Minotaur.
„ESET nastavlja da prati TheWizards nezavisno od Earth Minotaur. Iako obje grupe koriste DarkNights/DarkNimbus, prema ESET-ovim podacima, TheWizards cilja različite mete i koristi infrastrukturu i dodatne alate (na primjer, Spellbinder i WizardNet) koje Earth Minotaur ne koristi“, navodi ESET.
Izvor: SecurityWeek
