In den letzten Jahren hat die Cyberlandschaft erhebliche Veränderungen erlebt, wobei staatlich gesponserte Angreifergruppen immer raffiniertere Techniken einsetzen, um ihre Ziele zu erreichen. Eine dieser Gruppen, bekannt unter dem Namen TheWizards, ist besonders durch den Missbrauch von IPv6-Technologien wie der sogenannten SLAAC (Stateless Address Autoconfiguration) ins Rampenlicht geraten. Diese Gruppe nutzt eine außergewöhnliche Methode, um sich lateral in Netzwerken auszubreiten, Datenverkehr abzufangen und schädliche Software zu verbreiten – durch Adversary-in-the-Middle-Angriffe (AitM) mit Hilfe von SLAAC-Spoofing. Dieser Angriff veranschaulicht eine neue Dimension der Netzwerksicherheitsbedrohungen und eröffnet Angreifern tiefe Einblicke in kompromittierte Umgebungen. SLAAC ist eine essenzielle Komponente von IPv6, die es Geräten ermöglicht, sich automatisch mit dem Netzwerk zu konfigurieren, indem sie Router Advertisement (RA)-Nachrichten empfangen, die Netzwerkpräfixe und andere notwendige Informationen bereitstellen.
Diese Funktion erleichtert moderne Netzwerke, birgt aber auch Schwachstellen, die von Angreifern wie TheWizards ausgenutzt werden. Durch das Versenden gefälschter RA-Pakete können sie ahnungslose Systeme dazu verleiten, den Angreifer als regulären Router anzunehmen und so den Datenverkehr über ihre Geräte zu leiten. Dabei werden durch das Tool namens Spellbinder diese gefälschten Router Advertisement-Nachrichten in kurzen Intervallen im Netzwerk verschickt, was dazu führt, dass betroffene Windows-Rechner ihre IPv6-Adressen neu konfigurieren und den Angreifer als Standard-Gateway akzeptieren. Der eigentliche Angriff zeigt sich in der Fähigkeit von TheWizards, durch den dadurch kontrollierten Datenverkehr legitime Software-Updates chinesischer Anwendungen umzuleiten. Anwendungen wie Tencent QQ sind Ziel dieser Angriffe, bei denen der DNS-Datenverkehr manipuliert wird, sodass Anfragen für legitime Update-Server auf die Infrastruktur der Angreifer gelenkt werden.
Dadurch lädt die Software angeblich legitime Updates von in Wirklichkeit vom Angreifer kontrollierten Servern herunter. Diese Pakete enthalten oftmals einen modularen Backdoor namens WizardNet, der speziell von TheWizards entwickelt wurde. WizardNet erlaubt den Angreifern, direkt auf infizierten Systemen zu agieren, Funktionen auszuführen und weitere Schadmodule nachzuladen. Diese Vorgehensweise macht die Angriffe extrem gefährlich, da legitime Update-Mechanismen ausgenutzt werden und Abrufmechanismen somit kaum hinterfragt werden. Die technische Umsetzung des Angriffsszenarios beginnt mit der Bereitstellung des lateral movement Tools Spellbinder auf einer bereits kompromittierten Maschine.
Die Malware wird in einem Paket mit dem Namen AVGApplicationFrameHostS.zip auf dem Rechner abgelegt und in das Windows-Systemverzeichnis extrahiert. Spellbinder verwendet den WinPcap-Treiber, der ursprünglich für legitime Netzwerküberwachungstools entwickelt wurde, und nutzt dessen Paketaufnahmefunktion. Die Fähigkeit, Pakete gezielt abzufangen und zu bearbeiten, macht WinPcap zu einem idealen Werkzeug für Man-in-the-Middle-Attacken. Spellbinder öffnet ein Netzwerkinterface und startet Threads, die einerseits gefälschte Router Advertisement-Nachrichten senden und andererseits Netzwerkänderungen überwachen.
Das Herzstück des SLAAC-Spoofings ist die gezielte Manipulation der ICMPv6 Router Advertisement-Pakete. TheWizards stellt falsche Informationen bereit, die Geräte im lokalen Netzwerk dazu bringen, den Angriffsknoten als ihren Standard-Router zu akzeptieren. Dabei werden Angaben wie das IPv6-Präfix, DNS-Server-Adressen und die MAC-Adresse des vermeintlichen Routers übermittelt. Besonders erwähnenswert ist, dass die verwendeten DNS-Serveradressen mit dem chinesischen Telekommunikationsanbieter China Telecom zusammenhängen, auf den allerdings von außen keine legitime DNS-Auflösung möglich ist, was auf eine exklusive Infrastruktur für den Angriff hindeutet. Durch die Kontrolle der DNS-Antworten können Anfragen für populäre chinesische Plattformen wie Tencent, Baidu, Xiaomi und andere gezielt beantwortet werden, um den Datenverkehr an Angriffsinfrastruktur umzuleiten.
Die Angreifer verfügen über eine lange Liste von Domains, die sie überwachen und manipulieren. Die gezielte Beeinflussung von DNS-Anfragen auf Netzwerkebene sorgt dafür, dass die legitimen Software-Clients direkt mit einem Angreiferserver kommunizieren, der manipulierte Updates bereitstellt. Nach erfolgreichem Angriff lädt der installierte Downloader eine verschlüsselte Nutzlast, die den modularen Backdoor WizardNet in den Speicher lädt und ausführt. WizardNet ist so gestaltet, dass es flexible Erweiterungen via .NET-Module erlaubt, was seiner Funktionsvielfalt erheblichen Raum bietet.
Die Kommunikation mit dem Command-and-Control-Server erfolgt dabei verschlüsselt mittels AES im ECB-Modus, wobei eine einzigartig generierte SessionKey auf Basis von Systemdaten als Schlüssel dient. Die Backdoor ist zudem mit Mechanismen zur Umgehung von Sicherheitssoftware ausgestattet, wie der Manipulation von AMSI (Antimalware Scan Interface) und Event-Tracing (ETW), was Anti-Forensik und Abwehrmaßnahmen erschwert. Eine bemerkenswerte Schnittstelle des Angriffs ist die Verwendung von legitimen Softwarekomponenten zu böswilligen Zwecken – beispielsweise der Abhängigkeit von AVG-eigenen DLLs zum Side-Loading von schädlichem Code. Dies verdeutlicht den Trend, bestehende Softwareressourcen als Taktik für Tarnung und Persistenz sich anzueignen. Das Team hinter TheWizards bleibt unter ständiger Weiterentwicklung, sodass neue Versionen von Spellbinder seit 2022 beobachtet wurden, was auf eine kontinuierliche Bedrohungsaktivität hindeutet.
Die Opfer verteilen sich schwerpunktmäßig auf Regionen wie die Philippinen, Kambodscha, die Vereinigten Arabischen Emirate, China und Hongkong. Die Zielgruppen umfassen nicht nur private Nutzer, sondern auch Unternehmen aus dem Glücksspielsektor sowie weitere unbekannte Entitäten, was die breite Reichweite und flexible Zielsetzung der Gruppe unterstreicht. Die Verbindungen zu einer chinesischen Firma namens Sichuan Dianke Network Security Technology, auch bekannt als UPSEC, werfen ein zusätzliches Licht auf die organisatorische Struktur hinter TheWizards. UPSEC scheint als digitaler Quartiermeister zu fungieren, indem sie Tools und Malware wie DarkNights/DarkNimbus bereitstellt, die auch in anderen Angriffsszenarien gegen tibetische und uigurische Gemeinschaften genutzt werden. Die Kombination aus Malware für Microsoft Windows und Android zeigt, dass TheWizards und verbundene Gruppen multi-plattformorientiert arbeiten, um ihre Reichweite zu maximieren.
Besonders besorgniserregend ist der Missbrauch von legitimen Updateprozessen. Durch DNS-Spoofing und die Kontrolle von Netzwerktraffic können Angreifer legitime Programme dazu zwingen, schädliche Module als Updates zu installieren. Diese Methode verschleiert die Infektion für den Benutzer und erschwert die Detektion durch herkömmliche Sicherheitsmechanismen. Betroffene Unternehmen und Anwender sollten deshalb verstärkt auf die Integrität der Updateinfrastruktur achten und Techniken wie Mutual TLS oder digitale Signaturen bei Software-Updates einsetzen, um Manipulationen zu verhindern. Die von TheWizards verwendeten Techniken spiegeln auch Entwicklungen im Bereich der Netzwerksicherheitsbedrohungen wider, bei denen Protokolle wie IPv6 und dessen Autokonfigurationsmechanismen für Angriffe ausgenutzt werden.
Das SLAAC-Spoofing ist dabei ein Beispiel, wie standardisierte Netzwerkprotokolle trotz entworfenem Sicherheitsgedanken anfällig für Missbrauch sind, wenn Netzknoten nicht richtig konfiguriert oder überwacht werden. Insbesondere Umgebungen mit gemischten IPv4/IPv6-Netzen sollten wachsam sein. Aus Sicht der Cyberabwehr ist es wichtig, mehrschichtige Schutzmaßnahmen zu implementieren. Dazu gehören Netzwerksegmentierung, aktuelle Patchverwaltung, Überwachung des Netzwerkverkehrs auf ungewöhnliche ICMPv6-Router-Ankündigungen und Gepäckinspektion mittels Intrusion Detection Systems (IDS). Die Analyse von DNS-Antworten und das Monitoring von nicht autorisierten Änderungen an Netzwerkgeräten sind ebenfalls entscheidend.
Zusätzlich sollten Unternehmen ihre Sicherheitslösungen dahingehend prüfen, ob sie Angriffe durch Manipulation von ICMPv6-Nachrichten erkennen und abwehren können. Die enge Zusammenarbeit mit Herstellern für Sicherheitssoftware ist dabei wichtig, um Schutzmechanismen gegen komplexe Threats wie WizardNet zu entwickeln und zu aktualisieren. Nicht zuletzt sind auch Schulungen und Awareness-Maßnahmen für Mitarbeiter essentiell, da Social-Engineering-Elemente und kompromittierte legitime Software Updates häufig als Einstiegspunkte dienen. Sensibilisierte Anwender könnten bei verdächtigen Verhaltensweisen aufmerksam werden und somit die Chancen für frühzeitige Erkennung und Eindämmung verbessern. TheWizards zeigen eindrucksvoll, wie hochentwickelte Angreifergruppen Standardprotokolle und etablierte Softwarekomponenten gezielt ausnutzen, um sich in Netzwerken zu bewegen, persistente Zugänge zu schaffen und Daten zu kompromittieren.
Die Verwendung von ausgefeilten Tools wie Spellbinder und die Entwicklung eigener modularer Backdoors wie WizardNet stellen eine doppelte Herausforderung für Sicherheitsforscher und IT-Sicherheitsteams dar. Die identifizierten Techniken und Indikatoren bieten jedoch auch Ansatzpunkte für eine effektive Verteidigung. Unternehmen, die IPv6 in ihrem Netzwerk implementiert haben, sollten insbesondere auf ICMPv6-Sicherheitsrichtlinien achten und systematisch prüfen, ob unerlaubte Router Advertisement-Nachrichten aktiv sind. Die Einführung von Secure Neighbor Discovery (SEND) oder anderen Authentifizierungsmechanismen im IPv6-Stack kann Angriffsmöglichkeiten einschränken. Zusammenfassend lässt sich sagen, dass TheWizards mit SLAAC-Spoofing und durchdachtem Man-in-the-Middle-Angriff eine komplexe und hochgradig gefährliche Bedrohung darstellen, die bereits seit mindestens 2022 aktiv ist.
Ihre Fähigkeit, legitime chinesische Software-Update-Prozesse zu kapern und eigene Schadsoftware zu implantieren, macht sie zu einer ernstzunehmenden Gefahr für Unternehmen und individuelle Nutzer gleichermaßen. Die Kombination aus technischer Raffinesse, kontinuierlicher Weiterentwicklung und strategischem Einsatz von Infrastruktur zeigt, wie wichtig kontinuierliche Forschung, Monitoring und Sicherheitsverbesserungen in der Netzwerkinfrastruktur sind, um dieser Bedrohung zu begegnen und zukünftige Angriffe abzuwehren.
![Why is the M&S [UK store] cyber attack chaos taking so long to resolve?](/images/F154C0D1-69C9-45A6-A45A-F9AD01D9B911)
