Сообщений в теме: 85

[Twissell87]

Группа хакеров TheWizards, связанная с Китаем, использует функцию IPv6 для атак, которые позволяют перехватывать обновления программ и устанавливать вредоносное ПО на Windows. Об этом сообщает компания ESET.

 

Группа активна с 2022 года. Цели атак — пользователи и организации на Филиппинах, в Камбодже, ОАЭ, Китае и Гонконге. Среди жертв — частные лица и компании, включая игорный бизнес.

 

cdfcc1d844ced86beed7489768546b38.png

 

Хакеры применяют свой инструмент под названием Spellbinder. Он использует функцию SLAAC в IPv6. Эта функция позволяет устройствам получать IP-адрес и шлюз без DHCP-сервера — через специальные RA-сообщения от роутера.

 

Spellbinder подделывает такие сообщения. В результате устройства получают поддельный IP-адрес, DNS-сервер и шлюз. Этот шлюз ведёт на машину с вредоносным ПО, которая перехватывает весь трафик.

 

По словам ESET, Spellbinder рассылает RA-пакеты каждые 200 миллисекунд. Устройства с включённым IPv6 автоматически перенастраиваются и отправляют трафик на компьютер с ПО хакеров.

 

Атака начинается с архива AVGApplicationFrameHostS.zip. Он распаковывается в папку, которая выглядит как настоящая программа AVG. В ней находятся файлы с именами, похожими на легитимные, но один из них запускает вредоносный код Spellbinder.

 

После заражения Spellbinder следит за сетевыми запросами к сайтам обновлений известных китайских компаний, таких как Tencent, Baidu, Xiaomi и других.

 

Хакеры перенаправляют эти запросы на свои серверы. Вместо настоящих обновлений загружается вредоносная программа WizardNet. Она даёт злоумышленникам постоянный доступ к компьютеру и возможность устанавливать другое ПО.

 

Чтобы защититься, специалисты рекомендуют отключить IPv6, если он не нужен, или следить за его трафиком. Ранее, в январе 2025 года, ESET также сообщала об атаке группы Blackwood. Тогда целью было обновление программы WPS Office.

 

Источник: habr.com

Это все хорошо, но тема подмены SSL-сертификата не раскрыта, как уже написали на Хабре.
А так, как Вы мне насчет логаримфов: ничего не понятно, но довольно интересно.

Ученый/хакер изнасиловал журналиста, журналист написал статью.
 

Сообщение отредактировал Twissell87: 06 мая 2025 - 18:12

[rabbit]

Это все хорошо, но тема подмены SSL-сертификата не раскрыта, как уже написали на Хабре.
А так, как Вы мне насчет логаримфов: ничего не понятно, но довольно интересно.

Ученый/хакер изнасиловал журналиста, журналист написал статью.
 

Если действительно интересно - вы можете обратится в компанию eset за подробностями.

Благо, есть украинское представительство. 

Я же не работаю в данной компании. Ни напрямую, ни в качестве подрядчика.

Также я не являюсь автором статьи.

Просто я не очень понимаю - зачем высказывать мне, ваше недовольство.

[Twissell87]

Если действительно интересно - вы можете обратится в компанию eset за подробностями.

Благо, есть украинское представительство. 

Я же не работаю в данной компании. Ни напрямую, ни в качестве подрядчика.

Также я не являюсь автором статьи.

Просто я не очень понимаю - зачем высказывать мне, ваше недовольство.

Это есть обоснованное замечание, а не недовольство)
Было бы недовольство, был бы "минус" посту и много восклицательных знаков.
Я просто вежливо заметил, что общий уровень качества 80% Хабра-статей остается неизменным))

[Gesha]

Здравствуйте, смотрю что-то новость заглохла. Как сейчас с 6м протоколом дела обстоят? И подешевеет ли белый ip с ним?

[Twissell87]

что-то новость заглохла. Как сейчас с 6м протоколом дела обстоят?

Он работает и есть не просит)

И подешевеет ли белый ip с ним?

Это вряд ли. Нет связи. 
Если мне, например, нужно достучаться до Homelab по IPv6, с мобильного провайдера, то у Водафон его поддержки нет, а V4 есть везде и пул V4 у провайдера больше наврядли станет.  

[Gesha]

Это вряд ли. Нет связи.

Насколько помню, плата за старые адреса была связана с острой нехваткой оных)