Spellbinder: магия бокового перемещения и чары IPv6 в исполнении китайских хакеров

Китайская APT -группа TheWizards задействовала новую тактику бокового перемещения внутри скомпрометированных сетей с помощью инструмента под названием Spellbinder. Согласно свежему отчёту компании ESET, эта утилита предназначена для реализации AitM-атак через подмену IPv6-адресации по протоколу SLAAC, что позволяет перехватывать трафик и перенаправлять обновления легального китайского ПО на вредоносные серверы.

Центральным элементом атаки становится механизм обновления Sogou Pinyin — популярного китайского метода ввода текста. Через него доставляется вредоносный загрузчик, который загружает и активирует модульную программу WizardNet.

Аналогичные манипуляции с обновлениями данного ПО уже были замечены ранее: в начале 2024 года другая группа, получившая условное имя Blackwood, распространяла вредоносный модуль NSPX30, а вскоре ещё один кластер под названием PlushDaemon использовал тот же подход для доставки инструмента LittleDaemon.

Группа TheWizards ориентирована на атаки в Камбодже, Гонконге, материковом Китае, на Филиппинах и в ОАЭ. Случаи внедрения Spellbinder фиксируются с 2022 года. Несмотря на то, что исходный вектор проникновения в системы пока не установлен, дальнейшее развитие атаки включает доставку ZIP-архива, содержащего четыре файла: AVGApplicationFrameHost.exe, wsc.dll, log.dat и winpcap.exe.

После установки компонента winpcap.exe выполняется запуск другого исполняемого файла, который использует технику подмены библиотеки DLL. Это позволяет считать из файла log.dat shell-код и активировать Spellbinder в памяти заражённой системы.

Работа утилиты основана на захвате сетевых пакетов через библиотеку WinPcap, а также на использовании ICMPv6 Router Advertisement — механизма, при котором устройства получают информацию о маршрутизаторе в сети. Подмена происходит за счёт имитации ответов о наличии маршрутизатора, что позволяет Spellbinder внедряться в трафик между легальными сервисами и пользователем.

В одной из атак, зафиксированной в 2024 году, злоумышленники воспользовались этим механизмом для перехвата обновления мессенджера Tencent QQ на уровне DNS. Запрос к домену обновлений подменялся на IP-адрес сервера злоумышленников, где размещалась вредоносная версия ПО с WizardNet.

Помимо этого, в арсенале TheWizards имеется и другой инструмент — DarkNights, известный также под именем DarkNimbus. Хотя его связывали с группой Earth Minotaur, нынешние данные указывают на разделение этих кластеров из-за различий в инфраструктуре и целях. Выяснилось, что поставщиком DarkNights является подрядчик китайского Министерства общественной безопасности — компания Sichuan Dianke Network Security Technology Co., Ltd., известная также как UPSEC.

Для платформ Windows TheWizards использует бэкдор WizardNet, а для Android — на тех же подменённых серверах разворачивается DarkNights, что позволяет сделать вывод о роли Dianke как центра поставки вредоносного инструментария для данной APT-группы.

Тот факт, что обновления популярных программ превращаются в канал доставки вредоносного кода, показывает, насколько уязвимыми становятся даже привычные элементы цифровой инфраструктуры. Когда доверие к легитимному софту используется в качестве троянского коня, классические меры защиты теряют актуальность — а безопасность сети всё чаще зависит не от её стен, а от того, кто уже находится внутри.