Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) DKnife AitM Framework

DKnife AitM Framework

До Mezo през Усъвършенствана постоянна заплаха (APT), Зловреден софтуерг
Превод на:

Изследователи по киберсигурност разкриха усъвършенствана рамка за наблюдение на шлюзове и атака „противник по средата“ (AitM), известна като DKnife, приписвана на китайско-нексусни злонамерени организации и активна поне от 2019 г. Рамката е създадена специално за работа на границата на мрежата, позволявайки скрита проверка на трафика, манипулация и доставка на зловреден софтуер чрез компрометирани рутери и периферни устройства.

Стратегическо таргетиране на китайскоговорящи потребители

Изглежда, че DKnife е насочен предимно към китайскоговорящи потребители. Тази оценка се подкрепя от множество показатели, включително фишинг страници, пригодени за китайски доставчици на имейл услуги, модули за извличане на данни, фокусирани върху широко използвани китайски мобилни приложения като WeChat, и твърдо кодирани препратки към китайски медийни домейни в изходния код. Изследователите обаче предупреждават, че това заключение се основава на конфигурационни файлове, извлечени от един единствен сървър за командване и контрол (C2), което оставя отворена възможността за паралелни инфраструктури, пригодени за други региони.

Връзки с по-широка свързана с Китай заплашителна дейност

Рамката беше разкрита по време на разследване на по-широк китайски клъстер от заплахи, проследяван като Earth Minotaur, който е свързан с експлойт комплекта MOONSHINE и задната вратичка DarkNimbus (известна също като DarkNights). Важно е да се отбележи, че DarkNimbus е внедрен и от друга свързана с Китай напреднала група за постоянни заплахи, известна като TheWizards.

Анализът на инфраструктурата разкри припокривания между DKnife и WizardNet, имплант за Windows, използван от TheWizards и доставян чрез рамка на AitM, наречена Spellbinder, документирана публично през април 2025 г. Тези връзки са значителни, като се има предвид известното насочване на TheWizards към лица и организации, свързани с хазарта, в Камбоджа, Хонконг, континентален Китай, Филипините и Обединените арабски емирства.

Модулна архитектура, фокусирана върху Linux

За разлика от WizardNet, DKnife е проектиран специално за Linux-базирани среди, което го прави подходящ за внедряване на рутери и периферни устройства. Рамката се доставя чрез ELF изтеглятел и използва модулен дизайн, който позволява на операторите избирателно да активират възможности, вариращи от препращане на пакети до пълно прихващане и манипулиране на трафика.

Компоненти на DKnife Framework

  • dknife.bin – Основният модул, отговорен за задълбочена проверка на пакети, наблюдение на потребителската активност, отвличане на DNS и отвличане на двоични файлове при изтегляне.
  • postapi.bin – Релейно отчитане, което получава събрани данни от DKnife и ги препраща към отдалечени C2 сървъри
  • sslmm.bin – Модифициран обратен прокси на HAProxy, използван за прекратяване на TLS, декриптиране на имейли и пренасочване на URL адреси.
  • mmdown.bin – Актуализатор, който се свързва с твърдо кодиран C2 сървър, за да извлича злонамерени Android APK файлове
  • yitiji.bin – Препращач на пакети, който създава мостов TAP интерфейс на рутера за LAN трафик, инжектиран от хакер.
  • remote.bin – Peer-to-peer VPN клиент, който установява комуникационни канали с отдалечена C2 инфраструктура
  • dkupdate.bin – Модул за актуализиране и наблюдение, който осигурява постоянството и наличността на всички компоненти

    • Събиране на идентификационни данни чрез вградено декриптиране

    DKnife включва специална функционалност за кражба на идентификационни данни, насочена по-специално към голям китайски доставчик на имейл услуги. Модулът sslmm.bin предоставя на клиентите контролирани от хакера TLS сертификати, прекратява и декриптира POP3 и IMAP връзки и проверява получения трафик в открит текст, за да извлече потребителски имена и пароли. Събраните идентификационни данни се етикетират съответно, предават се на postapi.bin и се препращат към отдалечени C2 сървъри за събиране и анализ.

    Дълбоката проверка на пакети като средство за активиране на атака

    В основата на рамката е dknife.bin, който позволява обширна задълбочена проверка на пакетите и анализ на трафика в реално време. Тази възможност позволява на операторите безпроблемно да преминават между пасивно наблюдение и активни атаки, включително замяна на легитимни изтегляния на софтуер със злонамерени полезни товари.

    Ключови оперативни възможности

    • Разпространение на актуализирани C2 конфигурации за Android и Windows варианти на зловредния софтуер DarkNimbus
    • DNS-базирано отвличане на IPv4 и IPv6 за пренасочване на трафик, свързан с домейни, свързани с JD.com
    • Прихващане и подмяна на актуализации на приложения за Android за китайски новини, стрийминг медии, редактиране на изображения, електронна търговия, споделено пътуване, игри и платформи за видеоклипове за възрастни
    • Отвличане на Windows и други двоични файлове за изтегляне, за да се достави задната вратичка на ShadowPad чрез странично зареждане на DLL, последващо зареждане на DarkNimbus.
    • Прекъсване на комуникациите от антивирусен софтуер и софтуер за управление на системи, включително продукти на 360 и Tencent
    • Мониторинг на потребителското поведение в реално време, категоризирано по дейности като съобщения, гласови и видео разговори, пазаруване, консумация на новини, търсене на карти, стрийминг, игри, запознанства, споделено пътуване и използване на имейл

    Последици за сигурността на мрежовия ръб

    Рутерите и периферните устройства продължават да представляват ценни цели в напреднали, целенасочени кампании за проникване. Тъй като злонамерените лица все повече се фокусират върху този слой инфраструктура, видимостта на инструментите и техниките, които използват, става от съществено значение. Разкриването на рамката DKnife подчертава зрелостта на съвременните AitM заплахи, които комбинират задълбочена проверка на пакети, манипулиране на трафика и персонализирано доставяне на зловреден софтуер, за да компрометират широк спектър от типове устройства в голям мащаб.

    Тенденция

    AISURU/Kimwolf Botnet

    Ботнет мрежи, Усъвършенствана постоянна заплаха (APT)
    Разпределеният ботнет за отказ от услуга (DDoS), проследен като AISURU/Kimwolf, е свързан с безпрецедентна атака, достигнала пик от 31,4 терабита в секунда (Tbps). Въпреки изключителната си интензивност, атаката е била кратка, продължила е само 35 секунди. Инцидентът се е случил през ноември 2025 г. и сега е най-голямата DDoS атака, наблюдавана някога. Възход на хипер-обемните HTTP атаки...

    Измама с въздушен дропове на Black Wallstreet (TULSA)

    Измамни уебсайтове
    Проявяването на повишено внимание при сърфиране в интернет никога не е било по-важно, особено в пространството на криптовалутите. Киберпрестъпниците все по-често използват рекламата, доверието в...

    Най-гледан

    Зловреден софтуер

    Фишинг, Спам
    26,653
    Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
    Зареждане...