Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Marc de treball DKnife AitM

Marc de treball DKnife AitM

El Mezo el Amenaça persistent avançada (APT), Programari maliciós
Traduir a:

Investigadors de ciberseguretat han revelat un sofisticat marc de monitorització de passarelles i adversari al mig (AitM) conegut com a DKnife, atribuït a actors d'amenaces del nexe amb la Xina i actiu des d'almenys el 2019. El marc està dissenyat específicament per operar a la vora de la xarxa, permetent la inspecció encoberta del trànsit, la manipulació i el lliurament de programari maliciós a través d'encaminadors i dispositius de vora compromesos.

Segmentació estratègica d’usuaris de parla xinesa

Sembla que DKnife s'adreça principalment a usuaris de parla xinesa. Aquesta avaluació està recolzada per múltiples indicadors, com ara pàgines de phishing adaptades a proveïdors de correu electrònic xinesos, mòduls d'exfiltració de dades centrats en aplicacions mòbils xineses àmpliament utilitzades com ara WeChat i referències codificades a dominis de mitjans xinesos dins del codi font. Els investigadors adverteixen, però, que aquesta conclusió es basa en fitxers de configuració recuperats d'un únic servidor de comandament i control (C2), cosa que deixa oberta la possibilitat d'infraestructures paral·leles adaptades a altres regions.

Vincles amb una activitat d’amenaces més àmplia alineada amb la Xina

El marc de treball es va descobrir durant la investigació d'un clúster d'amenaces xineses més ampli rastrejat com a Earth Minotaure, que s'ha associat amb el kit d'explotació MOONSHINE i la porta del darrere DarkNimbus (també conegut com a DarkNights). Cal destacar que DarkNimbus també ha estat desplegat per un altre grup d'amenaces persistents avançades alineat amb la Xina conegut com a TheWizards.

L'anàlisi de la infraestructura va revelar solapaments entre DKnife i WizardNet, un implant de Windows utilitzat per TheWizards i lliurat a través d'un marc de treball AitM anomenat Spellbinder, documentat públicament l'abril de 2025. Aquestes connexions són significatives, atès que TheWizards s'adreça a individus i entitats relacionades amb el joc a Cambodja, Hong Kong, la Xina continental, les Filipines i els Emirats Àrabs Units.

Una arquitectura modular centrada en Linux

A diferència de WizardNet, DKnife està dissenyat específicament per a entorns basats en Linux, cosa que el fa ideal per a la implementació en encaminadors i dispositius perimetrals. El marc de treball es proporciona mitjançant un descarregador ELF i utilitza un disseny modular que permet als operadors habilitar selectivament capacitats que van des del reenviament de paquets fins a la intercepció i manipulació completa del trànsit.

Components del marc de treball DKnife

  • dknife.bin: el mòdul principal responsable de la inspecció profunda de paquets, la supervisió de l'activitat dels usuaris, el segrest de DNS i el segrest de descàrregues binàries.
  • postapi.bin: un relé d'informes que rep dades recollides de DKnife i les reenvia a servidors C2 remots.
  • sslmm.bin: un proxy invers HAProxy modificat que s'utilitza per a la terminació de TLS, el desxifratge de correus electrònics i la redirecció d'URL.
  • mmdown.bin: un actualitzador que es connecta a un servidor C2 codificat per recuperar APK d'Android maliciosos.
  • yitiji.bin: un reenviador de paquets que crea una interfície TAP en pont al router per al trànsit LAN injectat per un atacant.
  • remote.bin: un client VPN peer-to-peer que estableix canals de comunicació amb infraestructura C2 remota.
  • dkupdate.bin: un mòdul d'actualització i vigilància que garanteix la persistència i la disponibilitat de tots els components.

Recollida de credencials mitjançant el desxifratge en línia

DKnife inclou una funcionalitat dedicada al robatori de credencials, dirigida especialment a un important proveïdor de correu electrònic xinès. El mòdul sslmm.bin presenta certificats TLS controlats per atacants als clients, finalitza i desxifra les connexions POP3 i IMAP, i inspecciona el trànsit de text sense format resultant per extreure noms d'usuari i contrasenyes. Les credencials recollides s'etiqueten en conseqüència, es passen a postapi.bin i es retransmeten a servidors C2 remots per a la seva recopilació i anàlisi.

Inspecció profunda de paquets com a facilitador d’atacs

Al cor del marc de treball hi ha dknife.bin, que permet una inspecció profunda de paquets i una anàlisi del trànsit en temps real. Aquesta capacitat permet als operadors fer una transició fluida entre la monitorització passiva i els atacs actius en línia, inclosa la substitució de descàrregues de programari legítimes per càrregues útils malicioses.

Capacitats operatives clau

  • Distribució de configuracions C2 actualitzades a variants d'Android i Windows del programari maliciós DarkNimbus
  • Segrest basat en DNS tant a través d'IPv4 com d'IPv6 per redirigir el trànsit associat amb dominis relacionats amb JD.com
  • Intercepció i substitució d'actualitzacions d'aplicacions Android per a notícies xineses, contingut multimèdia en streaming, edició d'imatges, comerç electrònic, servei de transport compartit, jocs i plataformes de vídeo per a adults.
  • Segrest de descàrregues binàries de Windows i altres per lliurar la porta del darrere ShadowPad mitjançant la càrrega lateral de DLL, i posteriorment carregar DarkNimbus.
  • Interrupció de les comunicacions del programari antivirus i de gestió de sistemes, inclosos els productes de 360 i Tencent
  • Monitorització en temps real del comportament dels usuaris, classificada en activitats com ara missatgeria, trucades de veu i vídeo, compres, consum de notícies, cerques al mapa, streaming, jocs, cites, transport compartit i ús del correu electrònic.

Implicacions per a la seguretat de la vora de la xarxa

Els encaminadors i els dispositius perifèrics continuen representant objectius d'alt valor en campanyes d'intrusions avançades i dirigides. A mesura que els actors d'amenaces se centren cada cop més en aquesta capa d'infraestructura, la visibilitat de les eines i tècniques que utilitzen esdevé essencial. L'exposició del marc de treball DKnife subratlla la maduresa de les amenaces AitM modernes, que combinen la inspecció profunda de paquets, la manipulació del trànsit i el lliurament de programari maliciós personalitzat per comprometre una àmplia gamma de tipus de dispositius a escala.

Tendència

Més vist

Carregant...