中国に関連するAPT脅威グループ「TheWizards」が、IPv6のネットワーキング機能を悪用し、ソフトウェアのアップデートをハイジャックしてWindowsマルウェアをインストールする攻撃を行っています。ESETによると、このグループは2022年から活動しており、フィリピン、カンボジア、アラブ首長国連邦、中国、香港などの個人や企業を標的にしています。彼らの攻撃には「Spellbinder」というカスタムツールが使用され、IPv6の自動アドレス構成機能(SLAAC)を利用して、被害者の通信を盗み見て攻撃者のサーバーへリダイレクトします。感染したデバイスは、特定のドメインへの接続を監視し、中国のソフトウェア更新サーバーからの悪意のあるアップデートをダウンロードしてバックドア「WizardNet」をインストールします。組織は、IPv6トラフィックを監視するか、必要ない場合はプロトコルを無効にすることで、これらの攻撃から保護することができます。
Read more
ハッカー、IPv6機能悪用しソフトウェア更新を乗っ取る
未分類
コメント