گروه تهدید TheWizards با سوء استفاده از ویژگی IPv6 SLAAC توانسته مسیر به روز رسانی نرم افزارهای مشروع را منحرف کند و نسخه های آلوده را به دستگاه قربانی برساند. پژوهشگران ای ست (ESET) می گویند این گروه همسو با چین از سال ۲۰۲۲ فعال بوده و با ابزار Spellbinder حملات adversary-in-the-middle را در شبکه های هدف اجرا کرده است.
به گزارش رسانه اخبار فناوری تکنا، SLAAC یا Stateless Address Autoconfiguration قابلیتی در IPv6 است که به دستگاهها اجازه می دهد بدون نیاز به سرور DHCP، آدرس شبکه خود را تنظیم کنند. مهاجمان در این کارزار با ارسال پیامهای جعلی Router Advertisement کاری می کنند که دستگاه قربانی سیستم مهاجم را روتر معتبر تشخیص دهد و ترافیک اینترنت خود را از مسیر او عبور دهد.
ابزار Spellbinder پس از نفوذ اولیه به شبکه هدف مستقر می شود و با استفاده از WinPcap بسته های شبکه را شنود و در زمان لازم به آنها پاسخ می دهد. این ابزار سپس حمله SLAAC spoofing را فعال می کند تا ترافیک قربانی از مسیر مهاجم عبور کند. نتیجه، کنترل پنهانی بر درخواستهای شبکه و امکان دستکاری فرایندهای به روز رسانی است.
پس از قرار گرفتن مهاجم در میانه ارتباط، Spellbinder درخواستهای DNS مربوط به دامنه های به روز رسانی نرم افزارهای واقعی را رهگیری و به سرور تحت کنترل مهاجم هدایت می کند. در این مرحله، کاربر تصور می کند در حال دریافت به روز رسانی قانونی است، اما فایل آلوده شامل backdoor با نام WizardNet روی سیستم او اجرا می شود.
WizardNet یک implant ماژولار مبتنی بر .NET است که به کنترل کننده راه دور متصل می شود و ماژولهای اضافی را روی دستگاه قربانی اجرا می کند. این بدافزار می تواند داده های سیستم را استخراج کند، فهرست فرایندهای در حال اجرا را بگیرد، ماژولهای .NET را در حافظه اجرا کند و با ارتباط رمزنگاری شده TCP یا UDP ماندگاری خود را حفظ کند.
در یکی از نمونه های بررسی شده، سازوکار به روز رسانی Tencent QQ برای رساندن بدافزار به قربانیان دستکاری شده بود. ای ست همچنین می گوید Spellbinder دامنه های مرتبط با شرکتها و سرویسهایی مانند Tencent، Baidu، Xunlei، Youku، iQIYI، Kingsoft، Mango TV، Xiaomi، PPLive، Meitu، Qihoo 360 و Baofeng را زیر نظر داشته است.
دامنه هدف گیری TheWizards بیشتر در آسیا و خاورمیانه دیده شده است. بر اساس داده های تله متری ای ست، قربانیان شامل افراد، شرکتهای فعال در حوزه gambling و نهادهای ناشناس در فیلیپین، کامبوج، امارات متحده عربی، سرزمین اصلی چین و هنگ کنگ بوده اند. این الگو نشان می دهد حمله بیشتر به جاسوسی و دسترسی پایدار شباهت دارد.
پژوهشگران همچنین ارتباطهایی میان TheWizards و شرکت چینی دیانکه نتورک سکیوریتی تکنولوژی (Dianke Network Security Technology) که با نام UPSEC هم شناخته می شود مطرح کرده اند. ای ست می گوید زیرساخت و ابزارهای مشاهده شده با فعالیتهای این شرکت همپوشانی دارند، هرچند چنین پیوندهایی معمولا در دنیای عملیات سایبری به بررسی فنی و اطلاعات تکمیلی نیاز دارند.
اهمیت این حمله در این است که از یک قابلیت عادی شبکه ای سوء استفاده می کند، نه از یک آسیب پذیری کلاسیک در نرم افزار کاربر. بسیاری از سازمانها IPv6 را فعال دارند، اما ترافیک آن را به دقت IPv4 پایش نمی کنند. همین شکاف نظارتی باعث می شود مهاجم بدون جلب توجه، مسیر شبکه داخلی و به روز رسانی نرم افزارها را تغییر دهد.
راهکار دفاعی اصلی، پایش فعال ترافیک IPv6، بررسی پیامهای Router Advertisement و محدود کردن SLAAC در شبکه هایی است که به آن نیاز ندارند. سازمانها باید مسیرهای به روز رسانی نرم افزار را با DNS امن، اعتبارسنجی گواهی، کنترل امضای فایل و ثبت رویدادهای شبکه بررسی کنند. غیرفعال کردن IPv6 در محیطهای غیرنیازمند نیز می تواند سطح حمله را کاهش دهد.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
| پیشنهاد ویژه : تعمیر کامپیوتر |
| پیشنهاد تکنا : خرید بلیط هواپیما فلای تودی |
منبع خبر گروه TheWizards با سوء استفاده از IPv6 SLAAC مسیر به روز رسانی نرم افزارها را ربود پایگاه خبری تکنا به آدرس تکنا میباشد.
