Пов’язане з Китаєм APT-угруповання TheWizards використовує мережеву функціональність IPv6 для проведення атак типу man-in-the-middle, які перехоплюють оновлення ПЗ для встановлення Windows-малварі.

У своїх атаках хакери використовують кастомний інструмент Spellbinder, який зловживає функцією IPv6 Stateless Address Autoconfiguration (SLAAC) для проведення SLAAC-атак.

SLAAC – це функція мережевого протоколу IPv6, яка дає змогу пристроям автоматично налаштовувати свої власні IP-адреси та шлюз за замовчуванням без використання DHCP-сервера. Замість цього для отримання IP-адрес від маршрутизаторів, що підтримують протокол IPv6, використовуються повідомлення Router Advertisement (RA).

Spellbinder зловживає цією функціональністю, відправляючи підроблені RA-повідомлення і змушуючи прилеглі системи автоматично отримувати нову IPv6-адресу, нові DNS-сервери і новий, кращий IPv6-шлюз. Адреса цього шлюзу – IP-адреса Spellbinder, що дає змогу зловмисникам перехоплювати з’єднання і перенаправляти трафік через підконтрольні їм сервери.

“Spellbinder відправляє RA multicast-пакет кожні 200 мс на ff02::1 (усі вузли). Windows-машини в мережі з увімкненим IPv6 автоматично конфігуруватимуться за допомогою stateless address autoconfiguration (SLAAC), використовуючи інформацію, надану в RA-повідомленні, і почнуть надсилати IPv6-трафік на машину, на якій працює Spellbinder, де пакети буде перехоплено, проаналізовано й надано відповідь, якщо це необхідно”, – пояснює ESET.
Інструмент перенаправляє запити на завантаження та встановлення шкідливих оновлень, які в підсумку розгортають у системах жертв бекдор WizardNet. Він надає зловмисникам постійний доступ до зараженого пристрою і дає змогу встановлювати додаткове шкідливе програмне забезпечення.

Для захисту від подібних атак ESET рекомендує організаціям пильно контролювати трафік IPv6 або взагалі відключати цей протокол, якщо він не використовується в їхній інфраструктурі.