Minaccia informatica: il gruppo APT TheWizards e lo strumento Spellbinder
Un gruppo di minaccia persistente avanzata (APT) allineato con la Cina, noto come TheWizards, è stato collegato a uno strumento di movimento laterale chiamato Spellbinder, che facilita attacchi adversary-in-the-middle (AitM). Questo strumento sfrutta lo spoofing SLAAC (stateless address autoconfiguration) su IPv6 per muoversi lateralmente all’interno di una rete compromessa, intercettando pacchetti e reindirizzando il traffico di software legittimi cinesi per scaricare aggiornamenti dannosi da un server controllato dagli attaccanti.
Secondo il ricercatore di ESET, Facundo Muñoz, l’attacco apre la strada a un downloader malevolo, distribuito attraverso il meccanismo di aggiornamento del software associato a Sogou Pinyin. Questo downloader funge da condotto per installare una backdoor modulare denominata WizardNet. Non è la prima volta che attori di minaccia cinesi abusano del processo di aggiornamento di Sogou Pinyin per distribuire malware. Nel gennaio 2024, ESET ha descritto un gruppo di hacker chiamato Blackwood che ha utilizzato un impianto denominato NSPX30 sfruttando lo stesso meccanismo di aggiornamento.
All’inizio di quest’anno, la società di cybersecurity slovacca ha rivelato un altro cluster di minacce noto come PlushDaemon, che ha utilizzato la stessa tecnica per distribuire un downloader personalizzato chiamato LittleDaemon. Il gruppo APT TheWizards è noto per prendere di mira sia individui che il settore del gioco d’azzardo in Cambogia, Hong Kong, Cina continentale, Filippine ed Emirati Arabi Uniti.
Le prove suggeriscono che lo strumento Spellbinder per attacchi AitM su IPv6 è stato utilizzato dagli attori di minaccia almeno dal 2022. Sebbene il vettore di accesso iniziale esatto utilizzato negli attacchi non sia noto, l’accesso riuscito è seguito dalla consegna di un archivio ZIP contenente quattro file diversi: AVGApplicationFrameHost.exe, wsc.dll, log.dat e winpcap.exe.
Gli attori di minaccia procedono quindi a installare “winpcap.exe” ed eseguire “AVGApplicationFrameHost.exe”, che viene abusato per caricare il DLL. Il file DLL legge successivamente il codice shell da “log.dat” ed esegue il codice in memoria, avviando il processo Spellbinder.
Muñoz ha spiegato che “Spellbinder utilizza la libreria WinPcap per catturare i pacchetti e rispondere ai pacchetti quando necessario”. Sfrutta il Network Discovery Protocol di IPv6, in cui i messaggi di ICMPv6 Router Advertisement (RA) pubblicizzano la presenza di un router compatibile con IPv6 nella rete, consentendo agli host che supportano IPv6, o che stanno cercando un router compatibile con IPv6, di adottare il dispositivo pubblicizzato come gateway predefinito.
In un caso di attacco osservato nel 2024, si dice che gli attori di minaccia abbiano utilizzato questo metodo per dirottare il processo di aggiornamento del software per Tencent QQ a livello DNS, servendo una versione trojanizzata che poi distribuisce WizardNet, una backdoor modulare equipaggiata per ricevere ed eseguire payload .NET sull’host infetto.
Spellbinder riesce a fare ciò intercettando la query DNS per l’aggiornamento del software, reindirizzando il traffico verso server controllati dagli attaccanti.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!