Çin Bağlantılı Hacker Grubu IPv6 Özelliğini Kötüye Kullanarak Yazılım Güncellemelerini Ele Geçiriyor
ESET tarafından yayımlanan yeni bir rapora göre, “TheWizards” adlı Çin bağlantılı bir APT (Gelişmiş Kalıcı Tehdit) grubu, Windows sistemlerine zararlı yazılım bulaştırmak amacıyla IPv6 ağ protokolünde bulunan bir özelliği istismar ediyor. Saldırganlar, IPv6’nın SLAAC (Stateless Address Autoconfiguration) özelliğini kullanarak ağ üzerindeki trafiği yönlendirme ve güncellemeleri sahte sunucular üzerinden indirme taktiği uyguluyor.
Spellbinder aracı IPv6 trafiğini yönlendiriyor
“TheWizards” grubu, ESET’in Spellbinder adını verdiği özel bir araç geliştirerek, SLAAC saldırılarını mümkün kılıyor. SLAAC, IPv6 destekli cihazların DHCP sunucusuna ihtiyaç duymadan kendi IP adreslerini ve varsayılan ağ geçitlerini otomatik olarak belirlemesini sağlıyor. Ancak bu özellik, ağ üzerinden gönderilen Router Advertisement (RA) mesajları ile çalışıyor ve bu da saldırganların sahte RA mesajlarıyla sistemi kandırmasına olanak tanıyor.
Spellbinder, her 200 milisaniyede bir multicast RA paketi göndererek Windows cihazlarının IPv6 adreslerini, DNS yapılandırmalarını ve varsayılan ağ geçidini otomatik olarak değiştiriyor. Bu değişiklikle, cihazlar artık saldırganın kontrolündeki sahte ağ geçidi üzerinden internete bağlanıyor. Böylece saldırganlar, yazılım güncellemelerini kesintiye uğratabiliyor ve trafiği kendi sunucularına yönlendirebiliyor.
Saldırılar, AVGApplicationFrameHostS.zip adında bir arşiv dosyasıyla başlatılıyor. Bu dosya açıldığında, “%PROGRAMFILES%\AVG Technologies” klasörüne benzer bir dizin oluşturuluyor. İçinde, sahte bir AVGApplicationFrameHost.exe, zararlı bir wsc.dll, log.dat ve orijinal bir winpcap.exe dosyası bulunuyor. Sisteme sızma işlemi, winpcap.exe aracılığıyla DLL yükleme yöntemi kullanılarak gerçekleştiriliyor. Zararlı DLL belleğe yüklendikten sonra Spellbinder aktif hâle geliyor.
Spellbinder etkinleştirildikten sonra, ağ trafiğini izlemeye başlıyor ve belirli Çin merkezli yazılım firmalarına ait alan adlarına yapılan bağlantı isteklerini hedef alıyor. Bunlar arasında Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Xiaomi ve Meitu gibi şirketler yer alıyor. Saldırganlar bu istekleri sahte güncellemelere yönlendiriyor ve “WizardNet” isimli arka kapı yazılımını sistemlere yüklüyor. Bu yazılım, sisteme kalıcı erişim sağlıyor ve ek zararlı yazılımların yüklenmesine imkân tanıyor.
Uzmanlar, bu tür saldırılara karşı korunmak isteyen kurumların IPv6 trafiğini aktif olarak izlemeleri veya bu protokolü gereksizse tamamen devre dışı bırakmaları gerektiğini belirtiyor. Ayrıca sistem yöneticilerinin, ağlarındaki olağandışı IPv6 yapılandırmalarına karşı tetikte olmaları büyük önem taşıyor.
ESET, ocak ayında da WPS Office yazılım güncelleyicisinin kötüye kullanıldığı benzer bir saldırıyı açıklamıştı. Bu da yazılım güncelleyicilerinin siber saldırganlar için cazip hedefler hâline geldiğini ortaya koyuyor.
