Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) DKnife AitM Framework

DKnife AitM Framework

Med Mezo i Advanced Persistent Threat (APT), Malware
Oversæt til:

Cybersikkerhedsforskere har afsløret et sofistikeret gateway-monitoring- og adversary-in-the-middle (AitM)-framework kendt som DKnife, der tilskrives trusselsaktører med forbindelse til Kina og har været aktivt siden mindst 2019. Frameworket er specialbygget til at fungere i netværkets kant, hvilket muliggør skjult trafikinspektion, manipulation og levering af malware via kompromitterede routere og edge-enheder.

Strategisk målretning af kinesisktalende brugere

DKnife ser primært ud til at være rettet mod kinesisktalende brugere. Denne vurdering understøttes af flere indikatorer, herunder phishing-sider skræddersyet til kinesiske e-mailudbydere, dataudrensningsmoduler fokuseret på udbredte kinesiske mobilapplikationer som WeChat og hardcodede referencer til kinesiske mediedomæner i kildekoden. Forskere advarer dog om, at denne konklusion er baseret på konfigurationsfiler hentet fra en enkelt Command-and-Control (C2)-server, hvilket åbner op for muligheden for parallelle infrastrukturer skræddersyet til andre regioner.

Forbindelser til bredere trusselsaktivitet allieret med Kina

Rammen blev afsløret under efterforskningen af en bredere kinesisk trusselsklynge sporet som Earth Minotaur, som har været forbundet med MOONSHINE-exploitkittet og DarkNimbus-bagdøren (også kendt som DarkNights). Bemærkelsesværdigt er DarkNimbus også blevet implementeret af en anden Kina-tilknyttet avanceret vedvarende trusselgruppe kendt som TheWizards.

Infrastrukturanalyser afslørede overlapninger mellem DKnife og WizardNet, et Windows-implantat, der bruges af TheWizards og leveres via et AitM-framework kaldet Spellbinder, som blev offentligt dokumenteret i april 2025. Disse forbindelser er betydelige i betragtning af TheWizards' kendte målretning af enkeltpersoner og spilrelaterede enheder i Cambodja, Hongkong, Kina, Filippinerne og De Forenede Arabiske Emirater.

En Linux-fokuseret, modulær arkitektur

I modsætning til WizardNet er DKnife udviklet specifikt til Linux-baserede miljøer, hvilket gør det velegnet til implementering på routere og edge-enheder. Frameworket leveres via en ELF-downloader og bruger et modulært design, der giver operatører mulighed for selektivt at aktivere funktioner lige fra pakkevideresendelse til fuld trafikopfangning og -manipulation.

DKnife Framework-komponenter

  • dknife.bin – Kernemodulet, der er ansvarligt for dyb pakkeinspektion, overvågning af brugeraktivitet, DNS-kapring og kapring af binære downloads
  • postapi.bin – Et rapporteringsrelæ, der modtager indsamlede data fra DKnife og videresender dem til eksterne C2-servere.
  • sslmm.bin – En modificeret HAProxy reverse proxy, der bruges til TLS-afslutning, e-mail-dekryptering og URL-omdirigering.
  • mmdown.bin – En opdatering, der opretter forbindelse til en hardcoded C2-server for at hente ondsindede Android APK'er
  • yitiji.bin – En pakkevideresendelse, der opretter en brokoblet TAP-grænseflade på routeren til angriberinjiceret LAN-trafik
  • remote.bin – En peer-to-peer VPN-klient, der etablerer kommunikationskanaler med fjern C2-infrastruktur
  • dkupdate.bin – Et opdaterings- og watchdog-modul, der sikrer persistens og tilgængelighed af alle komponenter

    • Indsamling af legitimationsoplysninger via inline-dekryptering

    DKnife inkluderer dedikeret funktionalitet til tyveri af legitimationsoplysninger, især rettet mod en stor kinesisk e-mailudbyder. sslmm.bin-modulet præsenterer angriberstyrede TLS-certifikater til klienter, afslutter og dekrypterer POP3- og IMAP-forbindelser og inspicerer den resulterende klarteksttrafik for at udtrække brugernavne og adgangskoder. De indsamlede legitimationsoplysninger mærkes i overensstemmelse hermed, sendes til postapi.bin og videresendes til eksterne C2-servere til indsamling og analyse.

    Dyb pakkeinspektion som en angrebsaktiverer

    Kernen i frameworket ligger dknife.bin, som muliggør omfattende dyb pakkeinspektion og trafikanalyse i realtid. Denne funktion giver operatører mulighed for problemfrit at skifte mellem passiv overvågning og aktive inline-angreb, herunder udskiftning af legitime softwaredownloads med ondsindede nyttelast.

    Vigtige operationelle kapaciteter

    • Distribution af opdaterede C2-konfigurationer til Android- og Windows-varianter af DarkNimbus-malwaren
    • DNS-baseret hijacking over både IPv4 og IPv6 for at omdirigere trafik forbundet med JD.com-relaterede domæner
    • Opfangning og udskiftning af Android-applikationsopdateringer til kinesiske nyheder, streamingmedier, billedredigering, e-handel, samkørsel, spil og voksenvideoplatforme
    • Kapring af Windows og andre binære downloads for at levere ShadowPad-bagdøren via DLL-sideloading, hvorefter DarkNimbus indlæses.
    • Kommunikationsforstyrrelser fra antivirus- og systemadministrationssoftware, herunder produkter fra 360 og Tencent
    • Realtidsovervågning af brugeradfærd, kategoriseret på tværs af aktiviteter såsom beskeder, tale- og videoopkald, shopping, nyhedsforbrug, kortsøgninger, streaming, spil, dating, samkørsel og e-mailbrug

    Implikationer for netværkssikkerhed ved kanten

    Routere og edge-enheder repræsenterer fortsat værdifulde mål i avancerede, målrettede indtrængningskampagner. Efterhånden som trusselsaktører i stigende grad fokuserer på dette lag af infrastruktur, bliver indsigt i de værktøjer og teknikker, de anvender, afgørende. Afsløringen af DKnife-frameworket understreger modenheden af moderne AitM-trusler, som kombinerer dyb pakkeinspektion, trafikmanipulation og skræddersyet malwarelevering for at kompromittere en bred vifte af enhedstyper i stor skala.

    Trending

    Mest sete

    Indlæser...