ESET araştırmacılarının bulgularına nazaran Spellbinder, saldırganların legal Çin yazılımlarının güncelleme protokollerini makûs niyetli sunuculara yönlendirmesine imkan tanıyan IPv6 durumsuz adres otomatik yapılandırma sahtekârlığı yoluyla ortadaki düşman taarruzlarına imkan tanıyor. Akabinde legal yazılım, art kapı WizardNet’i başlatan makus hedefli bileşenleri indirip çalıştırması için kandırıyor. ESET telemetrisine nazaran Filipinler, Kamboçya, Birleşik Arap Emirlikleri, Çin ve Hong Kong’daki bireyleri, kumar şirketlerini ve bilinmeyen varlıkları gaye alan TheWizards en az 2022’den günümüze kadar daima olarak etkin.
Spellbinder ve WizardNet’i tahlil eden ESET araştırmacısı Facundo Muñoz, şu açıklamayı yaptı: “Bu aracı birinci olarak 2022’de keşfederek tahlil ettik; 2023 ve 2024’te tehlikeye atılmış makinelere dağıtılan birkaç değişiklik içeren yeni bir sürüm gözlemledik. Araştırmamız, saldırganlar tarafından kullanılan ve bir ağdaki paketleri yakalamak ve yanıtlamak için IPv6 SLAAC sahtekârlığını kullanarak ortadaki düşman akınları gerçekleştirmek üzere tasarlanmış bir aracı keşfetmemizi sağladı. Bu araç, saldırganların trafiği yine yönlendirmesine, yasal Çin yazılımlarına berbat gayeli güncellemeler sunmasına imkan tanıyor.”
Saldırıdaki son yük, WizardNet ismi verilen bir art kapı: Tehlikeye atılan makinede .NET modüllerini almak ve çalıştırmak için uzaktan kumandaya bağlanan modüler bir implant. ESET araştırmacıları, 2024 yılında Tencent QQ yazılımının güncellemesinin ele geçirildiği en son hadiselerden birine odaklandı. Güncelleme talimatlarını yayımlayan berbat niyetli sunucu hâlâ etkin. WizardNet’in bu varyantı beş komutu destekliyor ve bunlardan üçü .NET modüllerini bellekte çalıştırmasına müsaade veriyor böylelikle tehlikeye atılan sistemdeki fonksiyonelliğini genişletiyor.
TheWizards ve DarkNights art kapısının (DarkNimbus olarak da biliniyor) tedarikçisi olan Çinli Dianke Network Security Technology (UPSEC olarak da biliniyor) şirketi ilişkili görünmektedir. NCSC UK’ye nazaran, bu berbat niyetli art kapının öncelikli maksatları ortasında Tibet ve Uygur toplulukları da var. TheWizards farklı bir art kapı olan WizardNet’i kullanırken ele geçirme sunucusu Android aygıtlarda çalışan uygulamaları güncellemek için DarkNights’ı sunmak üzere yapılandırılmıştır.
Kaynak: (BYZHA) Beyaz Haber Ajansı