Хакеры из группировки TheWizards смогли взломать одну из функций протокола IPv6.
Введение
6 мая 2025 года эксперты по кибербезопасности компании ESET заявили, что с помощью использования особой уязвимости, хакерской группировке TheWizards удалось взломать SLAAC — одну из функций протокола IPv6. Это позволит киберпреступникам перехватывать обновления программного обеспечения и контролировать коммерческие сетевые ресурсы. TheWizards уже перешли к активной фазе атаки.
Подробнее о событии
TheWizards — это известная на весь мир хакерская группировка, которая с 2022 года занимается взломом систем частных лиц и крупных организаций, базирующихся в таких странах, как Китай, Гонконг, Камбоджа, ОАЭ и Филиппины. Нет подробной информации о том, кто такие TheWizards и какие именно цели они преследуют, однако в сети есть предположения, что некоторые участники преступной группировки проживают в РФ и на территории СНГ. Новая, недавно зафиксированная атака TheWizards, предполагает использование особого, вредоносного программного обеспечения Spellbinder, которое направляет на ресурсы своих систем, подверженных атаке, поддельные сообщения Router Advertisement (RA). После получения подобного сообщения, система воспринимает подконтрольный хакерам сервер как маршрутизатор и направляет через него весь трафик.
Принцип работы атаки завязан на использовании уязвимости функции протокола IPv6 Stateless Address Autoconfiguration (SLAAC), вследствие чего атаку прозвали “подмена SLAAC” (SLAAC spoofing). После получения полного доступа к трафику жертвы, хакеры TheWizards при помощи инструмента Spellbinder перехватывают запросы устройств к доменам, в том числе запросы с обновлениями программного обеспечения, после чего перенаправляют обратно системе. Вследствие этого, атакованная сетевая инфраструктура получает обновления с интегрированным вредоносным ПО, таким как трояны, которые включают в себя специальный бэкдор WizardNet. Затем киберпреступники получают удаленный доступ к системе, используют зашифрованные сокеты TCP или UDP, а также применяют сессионные ключи на основе системных идентификаторов для шифрования AES. Бэкдор WizardNet загружает и выполняет в памяти модули .NET, передает хакерам все системные данные, составляют список всех запущенных процессов на устройстве и продолжает поддерживать присутствие вредоносного ПО в системе.
Примечательно, что специалисты из ESET заявляют, что атаки могли происходит на регулярной основе с 2022 года, когда были обнаружены TheWizards. Также специалисты по кибербезопасности считают, что хакерский сервер, который передает вредоносное ПО, может быть активен до сих пор. Уже известно, что программа Spellbinder отслеживала обращение к доменам таких компаний, как Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 и Baofeng. Это говорит о том, что хакерская группировка нацелена преимущественно на крупные коммерческие сетевые инфраструктуры стран Азии.
Выводы
Несмотря на то, что РФ, СНГ и Европа не попадает в поле интересов группировки WizardNet, команда ServerFlow рекомендует отслеживать трафик и по возможности отключать протокол IPv6, поскольку другого способа устранить уязвимость и защитить свою систему пока не найдено.
6 мая 2025 года эксперты по кибербезопасности компании ESET заявили, что с помощью использования особой уязвимости, хакерской группировке TheWizards удалось взломать SLAAC — одну из функций протокола IPv6. Это позволит киберпреступникам перехватывать обновления программного обеспечения и контролировать коммерческие сетевые ресурсы. TheWizards уже перешли к активной фазе атаки.
Подробнее о событии
TheWizards — это известная на весь мир хакерская группировка, которая с 2022 года занимается взломом систем частных лиц и крупных организаций, базирующихся в таких странах, как Китай, Гонконг, Камбоджа, ОАЭ и Филиппины. Нет подробной информации о том, кто такие TheWizards и какие именно цели они преследуют, однако в сети есть предположения, что некоторые участники преступной группировки проживают в РФ и на территории СНГ. Новая, недавно зафиксированная атака TheWizards, предполагает использование особого, вредоносного программного обеспечения Spellbinder, которое направляет на ресурсы своих систем, подверженных атаке, поддельные сообщения Router Advertisement (RA). После получения подобного сообщения, система воспринимает подконтрольный хакерам сервер как маршрутизатор и направляет через него весь трафик.
Принцип работы атаки завязан на использовании уязвимости функции протокола IPv6 Stateless Address Autoconfiguration (SLAAC), вследствие чего атаку прозвали “подмена SLAAC” (SLAAC spoofing). После получения полного доступа к трафику жертвы, хакеры TheWizards при помощи инструмента Spellbinder перехватывают запросы устройств к доменам, в том числе запросы с обновлениями программного обеспечения, после чего перенаправляют обратно системе. Вследствие этого, атакованная сетевая инфраструктура получает обновления с интегрированным вредоносным ПО, таким как трояны, которые включают в себя специальный бэкдор WizardNet. Затем киберпреступники получают удаленный доступ к системе, используют зашифрованные сокеты TCP или UDP, а также применяют сессионные ключи на основе системных идентификаторов для шифрования AES. Бэкдор WizardNet загружает и выполняет в памяти модули .NET, передает хакерам все системные данные, составляют список всех запущенных процессов на устройстве и продолжает поддерживать присутствие вредоносного ПО в системе.
Примечательно, что специалисты из ESET заявляют, что атаки могли происходит на регулярной основе с 2022 года, когда были обнаружены TheWizards. Также специалисты по кибербезопасности считают, что хакерский сервер, который передает вредоносное ПО, может быть активен до сих пор. Уже известно, что программа Spellbinder отслеживала обращение к доменам таких компаний, как Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 и Baofeng. Это говорит о том, что хакерская группировка нацелена преимущественно на крупные коммерческие сетевые инфраструктуры стран Азии.
Выводы
Несмотря на то, что РФ, СНГ и Европа не попадает в поле интересов группировки WizardNet, команда ServerFlow рекомендует отслеживать трафик и по возможности отключать протокол IPv6, поскольку другого способа устранить уязвимость и защитить свою систему пока не найдено.
Сейчас тут ничего нет. Ваш комментарий может стать первым.
Получите скидку 3 000 рублей или бесплатную доставку за подписку на новости*!
* — скидка предоставляется при покупке от 30 000 рублей, в ином случае предусмотрена бесплатная доставка.
Мы получили ваш отзыв!
Он появится на сайте после модерации.
Мы получили ваш отзыв!
Он появится на сайте после модерации.
Продолжная использовать наш сайт, вы даете согласие на использование файлов Cookie, пользовательских данных (IP-адрес, вид операционной системы, тип браузера, сведения о местоположении, источник, откуда пришел на сайт пользователь, с какого сайта или по какой рекламе, какие страницы
открывает и на какие страницы нажимает пользователь) в целях функционирования сайта, проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
