網路安全公司ESET Research近期披露了一項針對亞洲和中東地區的網路攻擊活動,該活動由與中國有關聯的黑客組織TheWizards發起。
研究人員重點分析了該組織使用的惡意工具Spellbinder,該工具通過IPv6無狀態地址自動配置(SLAAC)欺騙技術實施中間人攻擊,能夠劫持合法軟體的更新流程。
據ESET研究員Facundo Muñoz介紹,Spellbinder最早於2022年被發現,並在2023年至2024年間出現了更新版本。該工具的工作原理是攔截網路數據包,將中國合法軟體的更新請求重定向至惡意伺服器,從而誘使目標系統下載並執行惡意組件。攻擊的最終載荷是一個名為WizardNet的模組化後門程序,它能夠連接遠程式控制制伺服器,接收並執行.NET模組指令。
ESET特別關注了2024年的一起攻擊案例,其中騰訊QQ軟體的更新流程遭到劫持。研究人員發現,用於分發惡意更新的伺服器至今仍在活躍狀態。最新版本的WizardNet支援五個命令,其中三個允許攻擊者在受感染系統的記憶體中直接執行.NET模組,從而擴展其控制能力。
TheWizards組織的活動至少從2022年持續至今,其目標包括菲律賓、柬埔寨、阿聯酋等地的個人、博彩公司及其他實體。值得注意的是,該組織與中國網路安全公司電科網路安全技術有限公司(UPSEC)存在潛在關聯。UPSEC此前因開發DarkNights後門程序(又名DarkNimbus)而受到英國國家網路安全中心(NCSC UK)的關注,該惡意軟體主要針對藏族和維吾爾族群體。
雖然TheWizards使用的是WizardNet後門,但研究人員發現其劫持伺服器的配置與DarkNights相同,均用於更新Android設備上的應用程序。這一發現進一步加深了外界對這兩個組織之間可能存在聯繫的猜測。
此次研究揭示了供應鏈攻擊的新手法,凸顯了IPv6協議潛在的安全風險。網路安全專家建議企業加強軟體更新驗證機制,並密切關注異常網路活動,以防範此類高級威脅。
