IPv6-Sicherheitslücke ermöglicht Malware-Installation über Software-Updates

MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung durch Cyberangriffe hat die Sicherheitsgemeinschaft alarmiert: Ein China-ausgerichteter APT-Akteur namens ‘TheWizards’ nutzt eine Funktion des IPv6-Netzwerks aus, um Software-Updates zu kapern und Malware auf Windows-Systemen zu installieren.

In der Welt der Cybersecurity gibt es immer wieder neue Herausforderungen, die Unternehmen und Einzelpersonen gleichermaßen betreffen. Eine dieser Herausforderungen ist die Ausnutzung von IPv6-Netzwerkfunktionen durch eine als ‘TheWizards’ bekannte Hackergruppe. Diese Gruppe, die mit China in Verbindung gebracht wird, hat eine Methode entwickelt, um Software-Updates zu kapern und Malware auf Windows-Systemen zu installieren.

Die Sicherheitsfirma ESET hat herausgefunden, dass diese Gruppe seit mindestens 2022 aktiv ist und Ziele in Ländern wie den Philippinen, Kambodscha, den Vereinigten Arabischen Emiraten, China und Hongkong angreift. Zu den Opfern gehören Einzelpersonen, Glücksspielunternehmen und andere Organisationen. Die Angriffe nutzen ein speziell entwickeltes Tool namens ‘Spellbinder’, das die IPv6 Stateless Address Autoconfiguration (SLAAC) Funktion missbraucht, um sogenannte SLACC-Angriffe durchzuführen.

SLAAC ist eine Funktion des IPv6-Netzwerkprotokolls, die es Geräten ermöglicht, ihre eigenen IP-Adressen und Standard-Gateways automatisch zu konfigurieren, ohne dass ein DHCP-Server erforderlich ist. Stattdessen werden Router Advertisement (RA) Nachrichten verwendet, um IP-Adressen von IPv6-unterstützten Routern zu empfangen. Das Spellbinder-Tool der Hacker missbraucht diese Funktion, indem es gefälschte RA-Nachrichten über das Netzwerk sendet, wodurch nahegelegene Systeme automatisch eine neue IPv6-IP-Adresse, neue DNS-Server und ein neues bevorzugtes IPv6-Gateway erhalten.

Dieses Standard-Gateway ist jedoch die IP-Adresse des Spellbinder-Tools, das es den Angreifern ermöglicht, die Kommunikation abzufangen und den Datenverkehr über von ihnen kontrollierte Server umzuleiten. ESET erklärt, dass Spellbinder alle 200 ms ein Multicast-RA-Paket an ff02::1 (“alle Knoten”) sendet; Windows-Maschinen im Netzwerk mit aktiviertem IPv6 konfigurieren sich automatisch über SLAAC mit den im RA-Paket bereitgestellten Informationen und beginnen, IPv6-Datenverkehr an die Maschine zu senden, auf der Spellbinder läuft, wo Pakete abgefangen, analysiert und gegebenenfalls beantwortet werden.

Die Angreifer setzen Spellbinder ein, indem sie ein Archiv namens AVGApplicationFrameHostS.zip verwenden, das in ein Verzeichnis extrahiert wird, das legitime Software nachahmt: “%PROGRAMFILES%AVG Technologies”. In diesem Verzeichnis befinden sich AVGApplicationFrameHost.exe, wsc.dll, log.dat und eine legitime Kopie von winpcap.exe. Die WinPcap-Executable wird verwendet, um die bösartige wsc.dll zu laden, die Spellbinder in den Speicher lädt.

Sobald ein Gerät infiziert ist, beginnt Spellbinder, den Netzwerkverkehr zu erfassen und zu analysieren, der versucht, bestimmte Domains zu erreichen, wie z.B. solche, die mit chinesischen Software-Update-Servern in Verbindung stehen. ESET berichtet, dass die Malware Domains von Unternehmen wie Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 und Baofeng überwacht.

Das Tool leitet dann diese Anfragen um, um bösartige Updates herunterzuladen und zu installieren, die eine Hintertür namens ‘WizardNet’ bereitstellen. Der WizardNet-Backdoor gibt Angreifern dauerhaften Zugriff auf das infizierte Gerät und ermöglicht es ihnen, bei Bedarf zusätzliche Malware zu installieren.

Um sich gegen diese Art von Angriffen zu schützen, können Organisationen den IPv6-Datenverkehr überwachen oder das Protokoll deaktivieren, wenn es in ihrer Umgebung nicht erforderlich ist. Im Januar berichtete ESET auch über eine andere Hackergruppe namens ‘Blackwood’, die die Software-Update-Funktion von WPS Office kapert, um Malware zu installieren.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!