Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Προηγμένη επίμονη απειλή (APT) Πλαίσιο DKnife AitM

Πλαίσιο DKnife AitM

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT), Κακόβουλο λογισμικό
Μετάφραση σε:

Ερευνητές στον κυβερνοχώρο αποκάλυψαν ένα εξελιγμένο πλαίσιο παρακολούθησης πύλης και αντιμετώπισης αντιπάλων στη μέση (AitM), γνωστό ως DKnife, το οποίο αποδίδεται σε απειλητικούς παράγοντες China-nexus και είναι ενεργό τουλάχιστον από το 2019. Το πλαίσιο έχει σχεδιαστεί ειδικά για να λειτουργεί στα άκρα του δικτύου, επιτρέποντας την μυστική επιθεώρηση κυκλοφορίας, τον χειρισμό και την παράδοση κακόβουλου λογισμικού μέσω παραβιασμένων δρομολογητών και συσκευών edge.

Στρατηγική στόχευση χρηστών που μιλούν κινέζικα

Το DKnife φαίνεται να στοχεύει κυρίως κινέζους χρήστες. Αυτή η αξιολόγηση υποστηρίζεται από πολλαπλούς δείκτες, συμπεριλαμβανομένων σελίδων ηλεκτρονικού "ψαρέματος" (phishing) προσαρμοσμένων για κινέζικους παρόχους email, ενοτήτων εξαγωγής δεδομένων που εστιάζουν σε ευρέως χρησιμοποιούμενες κινεζικές εφαρμογές για κινητά, όπως το WeChat, και αναφορών σε κινεζικούς τομείς μέσων ενημέρωσης εντός του πηγαίου κώδικα. Οι ερευνητές προειδοποιούν, ωστόσο, ότι αυτό το συμπέρασμα βασίζεται σε αρχεία διαμόρφωσης που ανακτώνται από έναν μόνο διακομιστή Command-and-Control (C2), αφήνοντας ανοιχτό το ενδεχόμενο παράλληλων υποδομών προσαρμοσμένων σε άλλες περιοχές.

Δεσμοί με ευρύτερη απειλητική δραστηριότητα που συνδέεται με την Κίνα

Το πλαίσιο αποκαλύφθηκε κατά τη διάρκεια της έρευνας για ένα ευρύτερο κινεζικό σύμπλεγμα απειλών που εντοπίστηκε ως Earth Minotaur, το οποίο έχει συσχετιστεί με το κιτ εκμετάλλευσης MOONSHINE και την κερκόπορτα DarkNimbus (γνωστή και ως DarkNights). Αξίζει να σημειωθεί ότι το DarkNimbus έχει επίσης αναπτυχθεί από μια άλλη ομάδα προηγμένων μόνιμων απειλών, γνωστή ως TheWizards, που συνδέεται με την Κίνα.

Η ανάλυση υποδομής αποκάλυψε επικαλύψεις μεταξύ του DKnife και του WizardNet, ενός εμφυτευμένου λογισμικού των Windows που χρησιμοποιείται από τους TheWizards και παρέχεται μέσω ενός πλαισίου AitM που ονομάζεται Spellbinder, το οποίο τεκμηριώθηκε δημόσια τον Απρίλιο του 2025. Αυτές οι συνδέσεις είναι σημαντικές δεδομένης της γνωστής στόχευσης ατόμων και οντοτήτων που σχετίζονται με τον τζόγο από τους TheWizards σε όλη την Καμπότζη, το Χονγκ Κονγκ, την ηπειρωτική Κίνα, τις Φιλιππίνες και τα Ηνωμένα Αραβικά Εμιράτα.

Μια αρθρωτή αρχιτεκτονική με επίκεντρο το Linux

Σε αντίθεση με το WizardNet, το DKnife έχει σχεδιαστεί ειδικά για περιβάλλοντα που βασίζονται σε Linux, γεγονός που το καθιστά ιδανικό για ανάπτυξη σε δρομολογητές και συσκευές edge. Το πλαίσιο παρέχεται μέσω ενός προγράμματος λήψης ELF και χρησιμοποιεί αρθρωτό σχεδιασμό που επιτρέπει στους χειριστές να ενεργοποιούν επιλεκτικά δυνατότητες που κυμαίνονται από την προώθηση πακέτων έως την πλήρη αναχαίτιση και χειρισμό της κυκλοφορίας.

Στοιχεία πλαισίου DKnife

  • dknife.bin – Η βασική ενότητα που είναι υπεύθυνη για τον εις βάθος έλεγχο πακέτων, την παρακολούθηση της δραστηριότητας των χρηστών, την παραβίαση DNS και την παραβίαση δυαδικών λήψεων.
  • postapi.bin – Ένα αναμεταδότης αναφοράς που λαμβάνει δεδομένα που συλλέγονται από το DKnife και τα προωθεί σε απομακρυσμένους διακομιστές C2
  • sslmm.bin – Ένας τροποποιημένος αντίστροφος διακομιστής μεσολάβησης HAProxy που χρησιμοποιείται για τερματισμό TLS, αποκρυπτογράφηση email και ανακατεύθυνση URL
  • mmdown.bin – Ένα πρόγραμμα ενημέρωσης που συνδέεται με έναν ενσωματωμένο διακομιστή C2 για την ανάκτηση κακόβουλων APK Android.
  • yitiji.bin – Ένας προωθητής πακέτων που δημιουργεί μια γεφυρωμένη διεπαφή TAP στον δρομολογητή για κίνηση LAN που εισάγεται από εισβολέα
  • remote.bin – Ένα peer-to-peer VPN client που δημιουργεί κανάλια επικοινωνίας με απομακρυσμένη υποδομή C2
  • dkupdate.bin – Μια ενότητα ενημέρωσης και παρακολούθησης που διασφαλίζει τη διατήρηση και τη διαθεσιμότητα όλων των στοιχείων

    • Συλλογή διαπιστευτηρίων μέσω ενσωματωμένης αποκρυπτογράφησης

    Το DKnife περιλαμβάνει ειδική λειτουργικότητα για κλοπή διαπιστευτηρίων, στοχεύοντας ιδιαίτερα έναν σημαντικό κινεζικό πάροχο email. Η ενότητα sslmm.bin παρουσιάζει πιστοποιητικά TLS που ελέγχονται από εισβολείς σε πελάτες, τερματίζει και αποκρυπτογραφεί συνδέσεις POP3 και IMAP και ελέγχει την προκύπτουσα κίνηση απλού κειμένου για την εξαγωγή ονομάτων χρήστη και κωδικών πρόσβασης. Τα συλλεγόμενα διαπιστευτήρια επισημαίνονται ανάλογα, διαβιβάζονται στο postapi.bin και αναμεταδίδονται σε απομακρυσμένους διακομιστές C2 για συλλογή και ανάλυση.

    Βαθιά Επιθεώρηση Πακέτων ως Ενεργοποιητής Επιθέσεων

    Στην καρδιά του πλαισίου βρίσκεται το dknife.bin, το οποίο επιτρέπει εκτεταμένο εις βάθος έλεγχο πακέτων και ανάλυση κίνησης σε πραγματικό χρόνο. Αυτή η δυνατότητα επιτρέπει στους χειριστές να μεταβαίνουν απρόσκοπτα μεταξύ παθητικής παρακολούθησης και ενεργών επιθέσεων εντός γραμμής, συμπεριλαμβανομένης της αντικατάστασης νόμιμων λήψεων λογισμικού με κακόβουλα ωφέλιμα φορτία.

    Βασικές Επιχειρησιακές Δυνατότητες

    • Διανομή ενημερωμένων διαμορφώσεων C2 σε παραλλαγές Android και Windows του κακόβουλου λογισμικού DarkNimbus
    • Παραβίαση μέσω DNS μέσω IPv4 και IPv6 για την ανακατεύθυνση της επισκεψιμότητας που σχετίζεται με τομείς που σχετίζονται με το JD.com
    • Υποκλοπή και αντικατάσταση ενημερώσεων εφαρμογών Android για κινεζικές πλατφόρμες ειδήσεων, streaming media, επεξεργασίας εικόνων, ηλεκτρονικού εμπορίου, υπηρεσιών μεταφοράς, παιχνιδιών και βίντεο ενηλίκων
    • Παραβίαση των Windows και άλλων δυαδικών λήψεων για την παράδοση του backdoor του ShadowPad μέσω πλευρικής φόρτωσης DLL, με επακόλουθη φόρτωση του DarkNimbus.
    • Διακοπή επικοινωνιών από λογισμικό προστασίας από ιούς και λογισμικό διαχείρισης συστήματος, συμπεριλαμβανομένων προϊόντων από την 360 και την Tencent
    • Παρακολούθηση της συμπεριφοράς των χρηστών σε πραγματικό χρόνο, κατηγοριοποιημένη σε δραστηριότητες όπως ανταλλαγή μηνυμάτων, φωνητικές και βιντεοκλήσεις, ψώνια, κατανάλωση ειδήσεων, αναζήτηση χαρτών, streaming, παιχνίδια, γνωριμίες, κοινή χρήση οχημάτων και χρήση email

    Επιπτώσεις για την ασφάλεια στα άκρα δικτύου

    Οι δρομολογητές και οι συσκευές edge εξακολουθούν να αποτελούν στόχους υψηλής αξίας σε προηγμένες, στοχευμένες εκστρατείες εισβολής. Καθώς οι απειλητικοί παράγοντες επικεντρώνονται ολοένα και περισσότερο σε αυτό το επίπεδο υποδομής, η ορατότητα στα εργαλεία και τις τεχνικές που χρησιμοποιούν καθίσταται απαραίτητη. Η έκθεση του πλαισίου DKnife υπογραμμίζει την ωριμότητα των σύγχρονων απειλών AitM, οι οποίες συνδυάζουν τον εις βάθος έλεγχο πακέτων, τον χειρισμό της κυκλοφορίας και την προσαρμοσμένη παράδοση κακόβουλου λογισμικού για να θέσουν σε κίνδυνο ένα ευρύ φάσμα τύπων συσκευών σε μεγάλη κλίμακα.

    Τάσεις

    Botnet AISURU/Kimwolf

    Botnets, Προηγμένη επίμονη απειλή (APT)
    Το botnet κατανεμημένης άρνησης υπηρεσίας (DDoS) που εντοπίστηκε ως AISURU/Kimwolf έχει συνδεθεί με μια άνευ προηγουμένου επίθεση που κορυφώθηκε στα 31,4 terabit ανά δευτερόλεπτο (Tbps). Παρά την ακραία έντασή της, η επίθεση ήταν σύντομη, διαρκώντας μόνο 35 δευτερόλεπτα. Το περιστατικό συνέβη τον Νοέμβριο του 2025 και πλέον αποτελεί τη μεγαλύτερη επίθεση DDoS που έχει παρατηρηθεί ποτέ. Αύξηση...

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    26,653
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...