2025-05-01 13:01:44
报告指出该组织利用IPv6协议中的“无状态地址自动配置”(SLAAC)功能,实施“SLACC攻击”。亚汇网注:SLAAC无需依赖DHCP服务器,支持设备自动配置IP地址和默认网关。该黑客组织通过其定制工具Spellbinder,发送伪造的路由器通告(RA)消息,诱导附近系统自动获取新的IPv6地址、DNS服务器及默认网关。而这个网关实际上是“Spellbinder”工具的IP地址,让攻击者能拦截通信并将流量重定向至其控制的服务器。“Spellbinder”通过名为“AVGApplicationFrameHostS.zip”的压缩文件传播,解压后伪装成合法软件目录“%PROGRAMFILES%\AVGTechnologies”。其中包含恶意文件“wsc.dll”,借助合法工具“winpcap.exe”加载“Spellbinder”至内存。感染后,该工具监控特定域名流量,尤其是腾讯、百度、迅雷、优酷、爱奇艺、金山、芒果TV、风行、有道、小米、小米MIUI、PPLive、美图、奇虎360和暴风(按照原文排序)等中国软件更新服务器相关的域名。一旦发现连接请求,它会重定向下载恶意更新,安装后门程序“WizardNet”,让攻击者持续控制设备并安装更多恶意软件。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
