网络安全公司ESET Research近期披露了一项针对亚洲和中东地区的网络攻击活动,该活动由与中国有关联的黑客组织TheWizards发起。
研究人员重点分析了该组织使用的恶意工具Spellbinder,该工具通过IPv6无状态地址自动配置(SLAAC)欺骗技术实施中间人攻击,能够劫持合法软件的更新流程。
据ESET研究员Facundo Muñoz介绍,Spellbinder最早于2022年被发现,并在2023年至2024年间出现了更新版本。该工具的工作原理是拦截网络数据包,将中国合法软件的更新请求重定向至恶意服务器,从而诱使目标系统下载并执行恶意组件。攻击的最终载荷是一个名为WizardNet的模块化后门程序,它能够连接远程控制服务器,接收并执行.NET模块指令。
ESET特别关注了2024年的一起攻击案例,其中腾讯QQ软件的更新流程遭到劫持。研究人员发现,用于分发恶意更新的服务器至今仍在活跃状态。最新版本的WizardNet支持五个命令,其中三个允许攻击者在受感染系统的内存中直接执行.NET模块,从而扩展其控制能力。
TheWizards组织的活动至少从2022年持续至今,其目标包括菲律宾、柬埔寨、阿联酋等地的个人、博彩公司及其他实体。值得注意的是,该组织与中国网络安全公司电科网络安全技术有限公司(UPSEC)存在潜在关联。UPSEC此前因开发DarkNights后门程序(又名DarkNimbus)而受到英国国家网络安全中心(NCSC UK)的关注,该恶意软件主要针对藏族和维吾尔族群体。
虽然TheWizards使用的是WizardNet后门,但研究人员发现其劫持服务器的配置与DarkNights相同,均用于更新Android设备上的应用程序。这一发现进一步加深了外界对这两个组织之间可能存在联系的猜测。
此次研究揭示了供应链攻击的新手法,凸显了IPv6协议潜在的安全风险。网络安全专家建议企业加强软件更新验证机制,并密切关注异常网络活动,以防范此类高级威胁。
