【安全资讯】黑客利用IPv6网络功能劫持软件更新

概要：

网络安全领域再度警报，黑客组织“TheWizards”利用IPv6网络特性，实施中间人攻击（AitM），劫持软件更新并安装Windows恶意软件。该组织自2022年起活跃，目标包括菲律宾、柬埔寨、阿联酋、中国及香港的多个实体，受害者涵盖个人及赌博公司等组织。

主要内容：

“TheWizards”利用IPv6的无状态地址自动配置（SLAAC）功能，实施名为“Spellbinder”的自定义工具进行攻击。SLAAC允许设备在无需DHCP服务器的情况下自动配置IP地址和默认网关。黑客通过发送伪造的路由通告（RA）消息，诱使附近系统接收新的IPv6地址和DNS服务器，进而将流量重定向至其控制的服务器。

具体而言，Spellbinder每200毫秒发送一次多播RA数据包，Windows设备会根据RA消息自动配置并开始将IPv6流量发送至运行Spellbinder的机器。该工具通过伪装成合法软件的方式进行部署，利用WinPcap执行侧加载恶意DLL文件，最终感染设备并监控与特定域名的网络流量。

一旦感染成功，Spellbinder会捕获并分析与中国软件更新服务器相关的请求，重定向这些请求以下载和安装名为“WizardNet”的后门程序。此后门程序使攻击者能够持久访问受感染设备，并根据需要安装其他恶意软件。为了防范此类攻击，组织应监控IPv6流量，或在不需要的情况下关闭该协议。