自2022年以来,中国威胁行为者Thewizards观察到进行Slaac攻击,攻击提供了污染的软件更新,最新的受害者在中国,香港,菲律宾和阿联酋。
网络安全研究人员Eset透露,一位称为TheWizards的威胁演员一直在向目标组织进行Slaac欺骗攻击,声称该组织与中国政府保持一致。
在广告系列中,攻击者将使用称为Spellbinder的工具将伪造的路由器广告(RA)消息发送到其目标。
这些消息欺骗了以为攻击者的系统是合法的路由器,导致它们通过黑客的机器路由所有互联网流量。由于此方法操纵无状态地址自动配置(SLAAC)过程,因此整个攻击被称为“ Slaac Spoofing”。
你可能喜欢
盐台风再次罢工 - 更多的美国ISP,大学和电信网络被中国黑客击中
据称,中国政府黑客在外国电话网络中尚未发现数年
巨大的网络攻击发现击中脆弱的Microsoft签名的遗产司机以超越安全
以每月1.67美元的价格获得个人饲养员个人,只需$ 3.54每月的饲养员家庭,而饲养员的业务仅为每月7美元
Keeper是一个网络安全平台,主要以其密码管理器和数字保险库而闻名,旨在帮助个人,家庭和企业安全地存储和管理密码,敏感文件和其他私人数据。
它使用零知识加密,并提供诸如两因素身份验证,暗网监视,安全文件存储和漏洞警报之类的功能,以防止网络威胁。
首选合作伙伴(这是什么意思?)查看交易
发行时间活跃
一旦Whizards开始控制流量,他们就会使用Spellbinder拦截DNS查询合法软件更新域并重定向。
结果,受害者最终下载了包含Wizardnet后门的软件更新的Trojanized版本。
ESET进一步解释说,这片恶意软件授予Wwizards远程访问受害者设备。它通过加密的TCP或UDP插座进行通信,并根据AES加密的系统标识符使用SessionKey。
除了加载和执行.NET模块内存中,Wizardnet还可以提取系统数据,列出运行过程并保持持久性。
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
Eset补充说,这项运动一直在进行,主要是针对中国,香港,柬埔寨,菲律宾和阿联酋的人和企业。
显然,骗子目前正在欺骗人们下载伪造的腾讯更新:“发出更新说明的恶意服务器在撰写本文时仍处于活动状态,” Eset说。大多数公司受害者似乎都在垂直赌博中。
Eset还说,Spellbinder正在监视不仅属于腾讯的域,还监视Baidu,Xunlei,Youku,Iqiyi,Kingsoft,Kingsoft,Mango TV,Funshion,Yuodao,yuodao,Xiaomi,Xiaomi Miui,pplive,pplive,pplive,meitu,meitu,quihoo 360和baofeng。
ESET总结说,减轻风险的最佳方法是监视IPv6流量,或者如果环境中不需要的话,请关闭协议。
通过BleepingComputer
您可能还喜欢
中国黑客劫持了ISP软件更新,以将Malwaretake传播给我们的指南,以了解最佳的身份验证器Appwe Appwe已将最佳密码管理器汇总
