Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) Rámec DKnife AitM

Rámec DKnife AitM

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Malware
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili sofistikovaný systém pro monitorování bran a útoky uprostřed (AitM) známý jako DKnife, který je připisován aktérům v oblasti čínských hrozeb a je aktivní nejméně od roku 2019. Tento systém je navržen tak, aby fungoval na okraji sítě a umožňoval skrytou kontrolu provozu, manipulaci a distribuci malwaru prostřednictvím napadených routerů a zařízení na okraji sítě.

Strategické cílení na čínsky mluvící uživatele

Zdá se, že DKnife cílí primárně na čínsky mluvící uživatele. Toto hodnocení je podpořeno řadou ukazatelů, včetně phishingových stránek přizpůsobených pro čínské poskytovatele e-mailových služeb, modulů pro exfiltraci dat zaměřených na široce používané čínské mobilní aplikace, jako je WeChat, a pevně zakódovaných odkazů na čínské mediální domény ve zdrojovém kódu. Výzkumníci však upozorňují, že tento závěr je založen na konfiguračních souborech načtených z jediného serveru Command-and-Control (C2), což ponechává otevřenou možnost paralelních infrastruktur přizpůsobených jiným regionům.

Vazby na širší hrozby spojené s Čínou

Tento systém byl odhalen během vyšetřování širšího čínského klastru hrozeb sledovaného jako Earth Minotaur, který byl spojován s exploit kitem MOONSHINE a backdoorem DarkNimbus (také známým jako DarkNights). Je pozoruhodné, že DarkNimbus byl také nasazen další pokročilou skupinou perzistentních hrozeb spojenou s Čínou, známou jako TheWizards.

Analýza infrastruktury odhalila překrývání mezi DKnife a WizardNet, implantátem Windows používaným TheWizards a dodávaným prostřednictvím frameworku AitM s názvem Spellbinder, který byl veřejně zdokumentován v dubnu 2025. Tato spojení jsou významná vzhledem k tomu, že TheWizards je známo, že cílí na jednotlivce a subjekty související s hazardními hrami v Kambodži, Hongkongu, pevninské Číně, na Filipínách a ve Spojených arabských emirátech.

Modulární architektura zaměřená na Linux

Na rozdíl od WizardNet je DKnife navržen speciálně pro prostředí založená na Linuxu, takže se dobře hodí pro nasazení na routerech a edge zařízeních. Framework je dodáván prostřednictvím ELF downloaderu a využívá modulární design, který umožňuje operátorům selektivně aktivovat funkce od přesměrování paketů až po úplné zachycení a manipulaci s provozem.

Komponenty frameworku DKnife

  • dknife.bin – Základní modul zodpovědný za hloubkovou inspekci paketů, monitorování aktivity uživatelů, únos DNS a únos binárních souborů při stahování
  • postapi.bin – Reportovací relé, které přijímá shromážděná data z DKnife a přeposílá je na vzdálené servery C2
  • sslmm.bin – Upravený reverzní proxy HAProxy používaný pro ukončení TLS, dešifrování e-mailů a přesměrování URL.
  • mmdown.bin – Aktualizační program, který se připojuje k pevně zakódovanému serveru C2 a načítá škodlivé soubory APK pro Android
  • yitiji.bin – Přeposílání paketů, které vytváří přemostěné rozhraní TAP na routeru pro LAN provoz injektovaný útočníkem
  • remote.bin – peer-to-peer VPN klient, který navazuje komunikační kanály se vzdálenou infrastrukturou C2.
  • dkupdate.bin – Aktualizační a watchdog modul, který zajišťuje trvalost a dostupnost všech komponent

Získávání přihlašovacích údajů prostřednictvím inline dešifrování

DKnife obsahuje specializovanou funkci pro krádež přihlašovacích údajů, zaměřenou zejména na významného čínského poskytovatele e-mailových služeb. Modul sslmm.bin prezentuje klientům certifikáty TLS ovládané útočníkem, ukončuje a dešifruje připojení POP3 a IMAP a kontroluje výsledný provoz v prostém textu za účelem extrahování uživatelských jmen a hesel. Shromážděné přihlašovací údaje jsou odpovídajícím způsobem označeny, předávány do souboru postapi.bin a předávány na vzdálené servery C2 ke shromažďování a analýze.

Hloubková inspekce paketů jako prostředek umožňující útok

Srdcem frameworku je soubor dknife.bin, který umožňuje rozsáhlou hloubkovou inspekci paketů a analýzu provozu v reálném čase. Tato funkce umožňuje operátorům plynule přecházet mezi pasivním monitorováním a aktivními inline útoky, včetně nahrazování legitimního stahování softwaru škodlivým datovým obsahem.

Klíčové operační schopnosti

  • Distribuce aktualizovaných konfigurací C2 pro varianty malwaru DarkNimbus pro Android a Windows
  • Únosy založené na DNS přes IPv4 i IPv6 za účelem přesměrování provozu spojeného s doménami souvisejícími s JD.com
  • Zachycení a nahrazení aktualizací aplikací pro Android pro čínské zpravodajství, streamování médií, úpravu obrázků, elektronické obchodování, přepravu, hraní her a platformy pro videa pro dospělé
  • Únos Windows a dalších binárních stahování za účelem doručení zadních vrátek ShadowPad prostřednictvím bočního načítání DLL a následného načtení DarkNimbusu
  • Narušení komunikace antivirovým a systémovým softwarem, včetně produktů společností 360 a Tencent
  • Monitorování chování uživatelů v reálném čase, kategorizované podle aktivit, jako je zasílání zpráv, hlasové a videohovory, nakupování, sledování zpráv, vyhledávání map, streamování, hraní her, randění, sdílení jízd a používání e-mailu

Důsledky pro zabezpečení na okraji sítě

Routery a edge zařízení i nadále představují vysoce hodnotné cíle v pokročilých, cílených intruzivních kampaních. Vzhledem k tomu, že se útočníci stále více zaměřují na tuto vrstvu infrastruktury, je nezbytné mít přehled o nástrojích a technikách, které používají. Odhalení frameworku DKnife podtrhuje vyspělost moderních hrozeb AitM, které kombinují hloubkovou inspekci paketů, manipulaci s provozem a doručování malwaru na míru, aby ohrozily širokou škálu typů zařízení ve velkém měřítku.

Trendy

Botnet AISURU/Kimwolf

Botnety, Pokročilá trvalá hrozba (APT)
Distribuovaný botnet typu denial-of-service (DDoS) sledovaný jako AISURU/Kimwolf byl spojován s bezprecedentním útokem, který dosáhl vrcholu 31,4 terabitů za sekundu (Tbps). Navzdory své extrémní intenzitě byl útok krátký, trval pouhých 35 sekund. K incidentu došlo v listopadu 2025 a nyní je to největší DDoS útok, jaký kdy byl pozorován. Nárůst hypervolumetrických HTTP útoků Bezpečnostní...

Nejvíce shlédnuto

Načítání...