Spellbinder: Hacker-রা সফ্টওয়্যার আপডেট হাইজ্যাক করার জন্য IPv6 নেটওয়ার্কিং ব্যবহার করে

"TheWizards" নামে একজন চীন-সমর্থিত(APT) একটি IPv6 নেটওয়ার্কিং ব্যবহার করে প্রতিপক্ষ adversary-in-the-middle(AitM)-কে আক্রমণ শুরু করে। Attack-টি হয়েছে windows malware install করার জন্য, যা সফটওয়্যার আপডেটটি হাইজ্যাক করে।

ESET-এর মতে, এই গোষ্ঠীটি কমপক্ষে ২০২২ সাল থেকে সক্রিয় ছিল, তারা ফিলিপাইন, কম্বোডিয়া, চীন এবং হংকংয়ের সংস্থাগুলিকে লক্ষ্য করে। তাদের জন্য অনেক মানুষ, জুয়া কোম্পানি এবং অন্যান্য সংস্থাগুলি ক্ষতিগ্রস্ত হয়েছে।

Attack গুলি ESET-এর "Spellbinder" নামক একটি কাস্টম টুল ব্যবহার করে করা হয়। SLACC আক্রমণ পরিচালনা করার জন্য IPv6 Stateless Address Autoconfiguration (SLAAC) কে দায়ী করেছে।

SLAAC হল IPv6 নেটওয়ার্কিং প্রোটোকলের একটি বৈশিষ্ট্য যা ডিভাইসগুলিকে DHCP সার্ভারের প্রয়োজন ছাড়াই স্বয়ংক্রিয়ভাবে তাদের নিজস্ব IP ঠিকানা এবং ডিফল্ট গেটওয়ে কনফিগার করতে দেয়। পরিবর্তে, এটি IPv6-সমর্থিত রাউটারগুলি থেকে IP ঠিকানা গ্রহণের জন্য রাউটার বিজ্ঞাপন (RA) বার্তা ব্যবহার করে।

হ্যাকারের "Spellbinder" টুলটি নেটওয়ার্কের মাধ্যমে ভুয়ো RA বার্তা পাঠিয়ে এই বৈশিষ্ট্যটির অপব্যবহার করে, যার ফলে কাছাকাছি সিস্টেমগুলি স্বয়ংক্রিয়ভাবে একটি নতুন IPv6 IP ঠিকানা, নতুন DNS সার্ভার এবং একটি নতুন, পছন্দের IPv6 গেটওয়ে গ্রহণ করে। যদিও এই ডিফল্ট গেটওয়েটি স্পেলবাইন্ডার টুলের IP ঠিকানা, যা এটিকে আক্রমণকারী-নিয়ন্ত্রিত সার্ভারের মাধ্যমে যোগাযোগ আটকাতে এবং ট্র্যাফিক পুনরায় Root করতে দেয়।

১. Spellbinder নেটওয়ার্কের সকল নোডে ICMPv6 RA massage পাঠায়

২. IPv4-এবং IPv6-সক্ষম মেশিন massage-টি গ্রহণ করে এবং SLAAC ব্যবহার করে autoconfigure করে

৩. ভিক্টিম মেশিন Spellbinder চালিত মেশিনে IPv6 এর মাধ্যমে DNS অনুরোধ পাঠায়

৪. স্পেলবাইন্ডার আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত ক্ষতিকারক সার্ভারের IPv4 ঠিকানা দিয়ে উত্তর দেয়

৫. ভিক্টিম মেশিনে চলমান সফ্টওয়্যার IPv4 এর মাধ্যমে ক্ষতিকারক সার্ভারে HTTP অনুরোধ পাঠায়, আপডেটের জন্য অনুরোধ করে

৬. ক্ষতিকারক সার্ভার ক্ষতিকারক payload দিয়ে উত্তর দেয়