Tin tặc Trung Quốc lợi dụng tính năng IPv6 SLAAC để tấn công AitM

Một tác nhân đe dọa APT của Trung Quốc có tên là TheWizards đã lợi dụng tính năng IPv6 Stateless Address Autoconfiguration (SLAAC) để phát động các cuộc tấn công Adversary-In-The-Middle (AiTM), nhằm chiếm quyền cập nhật phần mềm để cài đặt mã độc trên máy tính Windows.

Theo các nhà nghiên cứu của Công ty an ninh mạng ESET (Slovakia), nhóm tin tặc TheWizards đã hoạt động ít nhất từ ​​năm 2022, với mục tiêu tấn công vào các thực thể ở Philippines, Campuchia, Các Tiểu vương quốc Ả Rập Thống nhất, Trung Quốc và Hồng Kông. Nạn nhân bao gồm các cá nhân, công ty tài chính và các tổ chức khác.

Các cuộc tấn công lợi dụng tính năng SLAAC bằng cách sử dụng một công cụ tùy chỉnh có tên Spellbinder. Theo đó, SLAAC là một tính năng của giao thức mạng IPv6 cho phép các thiết bị tự động cấu hình địa chỉ IP và cổng mặc định của riêng chúng mà không cần máy chủ DHCP. Thay vào đó, nó sử dụng các thông báo Router Advertisement (RA) để nhận địa chỉ IP từ các router hỗ trợ IPv6.

Công cụ Spellbinder lợi dụng tính năng này bằng cách gửi các tin nhắn RA giả mạo qua mạng, khiến các hệ thống gần đó tự động nhận được địa chỉ IPv6 mới, máy chủ DNS mới và cổng IPv6 mới được ưu tiên.

Tuy nhiên, cổng mặc định này lại là địa chỉ IP của Spellbinder, cho phép công cụ này chặn thông tin liên lạc và định tuyến lại lưu lượng truy cập qua các máy chủ do kẻ tấn công kiểm soát. Theo các nhà nghiên cứu, Spellbinder sử dụng thư viện WinPcap để bắt các gói tin và trả lời các gói tin khi cần thiết.

“Spellbinder gửi một gói RA đa hướng sau mỗi 200 ms đến ff02::1 (tất cả các nút); các máy Windows trong mạng có bật IPv6 sẽ tự động cấu hình thông qua SLAAC bằng cách sử dụng thông tin được cung cấp trong tin nhắn RA và bắt đầu gửi lưu lượng IPv6 đến máy đang thực thi Spellbinder. Tại đó, các gói tin sẽ bị chặn, phân tích và trả lời khi cần thiết”, ESET giải thích.

Lạm dụng tính năng IPv6 SLAAC bằng công cụ Spellbinder.

ESET cho biết các cuộc tấn công triển khai Spellbinder bằng cách sử dụng một kho lưu trữ có tên AVGApplicationFrameHostS[.]zip, giải nén vào thư mục sau: “%PROGRAMFILES%AVG Technologies”. Trong thư mục này có AVGApplicationFrameHost[.]exe, wsc[.]dll, log[.]dat và một bản sao hợp lệ của winpcap[.]exe. Tệp thực thi WinPcap được sử dụng để chèn chương trình wsc[.]dll độc hại, tải Spellbinder vào bộ nhớ.

Khi một thiết bị bị lây nhiễm, Spellbinder bắt đầu thu thập và phân tích lưu lượng mạng cố gắng kết nối các tên miền cụ thể, chẳng hạn như các tên miền liên quan đến máy chủ cập nhật phần mềm Trung Quốc.

ESET cho biết phần mềm độc hại này theo dõi các tên miền thuộc về các công ty Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 và Baofeng.

Sau đó, công cụ này sẽ chuyển hướng các yêu cầu đó để tải xuống và cài đặt các bản cập nhật độc hại để triển khai một backdoor có tên là WizardNet. Backdoor này cung cấp cho kẻ tấn công quyền truy cập liên tục vào thiết bị bị nhiễm và cho phép chúng cài đặt thêm phần mềm độc hại về sau.

Để chống lại các loại tấn công này, các tổ chức có thể giám sát lưu lượng IPv6 hoặc tắt giao thức nếu không cần thiết trong môi trường của họ.

Trước đó, vào tháng 01/2025, ESET cũng đã lên tiếng báo cáo về một nhóm tin tặc khác có tên Blackwood đã chiếm quyền điều khiển tính năng cập nhật phần mềm WPS Office để cài đặt mã độc.