Un grupo avanzado de amenaza persistente (APT) alineada por China Thewizards se ha relacionado con una herramienta de movimiento lateral llamada SpellBinder que puede facilitar los ataques adversarios en el medio (AITM).
“SpellBinder habilita los ataques adversarios en el medio (AITM), a través de la dirección de la dirección de apátrate IPv6 (SLAAC) paropara moverse lateralmente en la red comprometida, interceptando paquetes y redirigiendo el tráfico del software chino legítimo para que descargue actualizaciones maliciosas de un servidor controlado por los atacantes “, el investigador de ESET FacUdoz Muñoz dicho En un informe compartido con The Hacker News.
El ataque allana el camino para un descargador malicioso que se entrega al secuestrar el mecanismo de actualización de software asociado con Sogou Pinyin. El descargador luego actúa como un conducto para soltar un modular puerta en el nombre en código Wizardnet.
Esta no es la primera vez que los actores de amenaza china han abusado del proceso de actualización de software de Sogou Pinyin para entregar su propio malware. En enero de 2024, ESET detalló un grupo de piratería conocido como Blackwood que ha implementado un implante llamado NSPX30 aprovechando el mecanismo de actualización de la aplicación de software de método de entrada chino.
Luego, a principios de este año, la compañía de ciberseguridad eslovaco reveló otro clúster de amenazas conocido como Plushdaemon que aprovechó la misma técnica para distribuir un descargador personalizado llamado Littledaemon.
Se sabe que TheWizards APT se dirige tanto a los individuos como a los sectores de juego en Camboya, Hong Kong, China continental, Filipinas y los Emiratos Árabes Unidos.
La evidencia sugiere que el actor de amenazas ha utilizado la herramienta SpellBinder IPv6 AITM desde al menos 2022. Si bien el vector de acceso inicial exacto utilizado en los ataques es desconocido en esta etapa, el acceso exitoso es seguido por la entrega de un archivo ZIP que contiene cuatro archivos diferentes: avgapplicationframehost.exe, wsc.dll, log.dat y winpcap.xe.
Los actores de la amenaza luego proceden a instalar “WinPCap.exe” y ejecutar “AvgapplicationFrameHost.exe”, este último se abusa de resaltar la DLL. El archivo DLL posteriormente lee ShellCode de “Log.Dat” y lo ejecuta en la memoria, lo que hace que SpellBinder se inicie en el proceso.
“Spellbinder usa el Biblioteca WinPCAP to capture packets and to reply to packets when needed,” Muñoz explained. “It takes advantage of IPv6’s Network Discovery Protocol in which ICMPv6 Router Advertisement (RA) messages advertise that an IPv6-capable router is present in the network so that hosts that support IPv6, or are soliciting an IPv6-capable router, can adopt the advertising device as their default gateway.”
En un caso de ataque observado en 2024, se dice que los actores de amenaza utilizaron este método para secuestrar el proceso de actualización de software para Tencent QQ a nivel DNS para servir una versión troyana que luego implementa WizardNet, una puerta trasera modular que está equipada para recibir y ejecutar cargas de pago .NET en el host infectado.
SpellBinder logra interceptando la consulta DNS para el dominio de actualización de software (“update.browser.qq[.]com “) y emitir una respuesta DNS con la dirección IP de un servidor controlado por el atacante (” 43.155.62[.]54 “) Hosting la actualización maliciosa.
Otra herramienta notable en el Arsenal de TheWizards es Darknights, que también se llama Darknimbus por Trend Micro y se ha atribuido a otro grupo de piratería chino rastreado como Minotauro de la Tierra. Dicho esto, ambos grupos están siendo tratados como operadores independientes, citando diferencias en las herramientas, la infraestructura y las huellas de focalización.
Lo ha hecho desde surgido Que un contratista del Ministerio de Seguridad Pública china llamado Sichuan Dianke Network Security Technology Co., Ltd. (también conocido como UPSEC) es el proveedor del malware Darknimbus.
“Si bien TheWizards usa una puerta trasera diferente para Windows (WizardNet), el servidor de secuestro está configurado para servir a Darknights para actualizar aplicaciones que se ejecutan en dispositivos Android”, dijo Muñoz. “Esto indica que Dianke Network Security es un intendente digital para TheWizards Apt Group”.
About the Author
