Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Täiustatud püsiv oht (APT) DKnife AitM raamistik

DKnife AitM raamistik

Aastaks Mezo aastal Täiustatud püsiv oht (APT), Pahavara
Tõlgi:

Küberturvalisuse uurijad on paljastanud keeruka võrguvärava jälgimise ja vastasele suunatud võrgustiku (AitM), mida tuntakse nime all DKnife. Seda seostatakse Hiina-seose ohutegelastega ja see on aktiivne olnud vähemalt alates 2019. aastast. Raamistik on loodud spetsiaalselt võrgu servas toimimiseks, võimaldades salajast liikluse kontrollimist, manipuleerimist ja pahavara edastamist ohustatud ruuterite ja servaseadmete kaudu.

Hiina keelt kõnelevate kasutajate strateegiline sihtimine

DKnife näib sihikutavat peamiselt hiinakeelseid kasutajaid. Seda hinnangut toetavad mitmed näitajad, sealhulgas Hiina e-posti pakkujatele kohandatud andmepüügilehed, laialdaselt kasutatavatele Hiina mobiilirakendustele (nt WeChat) suunatud andmete väljapressimise moodulid ja lähtekoodis olevad kõvakodeeritud viited Hiina meediadomeenidele. Teadlased hoiatavad aga, et see järeldus põhineb ühelt juhtimis- ja juhtimisserverilt (C2) hangitud konfiguratsioonifailidel, mis jätab avatuks võimaluse paralleelsete infrastruktuuride loomiseks, mis on kohandatud teistele piirkondadele.

Sidemed laiema Hiinaga kooskõlas oleva ohutegevusega

Raamistik avastati laiema Hiina ohuklastri, mida jälgiti nime all Earth Minotaur, uurimise käigus, mida on seostatud MOONSHINE'i ärakasutamiskomplekti ja DarkNimbuse (tuntud ka kui DarkNights) tagauksega. Märkimisväärne on, et DarkNimbuse on kasutusele võtnud ka teine Hiinaga seotud edasijõudnud püsiva ohu rühmitus TheWizards.

Taristu analüüs näitas kattumisi DKnife'i ja WizardNeti vahel. WizardNet on Windowsi implantaat, mida TheWizards kasutab ja mis edastatakse AitM-raamistiku Spellbinder kaudu, mis avalikustati 2025. aasta aprillis. Need seosed on olulised, arvestades TheWizardsi teadaolevat sihtimist üksikisikute ja hasartmängudega seotud üksuste vastu Kambodžas, Hongkongis, Mandri-Hiinas, Filipiinidel ja Araabia Ühendemiraatides.

Linuxile keskendunud modulaarne arhitektuur

Erinevalt WizardNetist on DKnife loodud spetsiaalselt Linuxi-põhiste keskkondade jaoks, mistõttu sobib see hästi juurutamiseks ruuteritesse ja servaseadmetesse. Raamistik tarnitakse ELF-allalaadija kaudu ja kasutab modulaarset disaini, mis võimaldab operaatoritel valikuliselt lubada võimalusi alates pakettide edastamisest kuni täieliku liikluse pealtkuulamise ja manipuleerimiseni.

DKnife’i raamistiku komponendid

  • dknife.bin – Põhimoodul, mis vastutab süvapaketikontrolli, kasutajategevuse jälgimise, DNS-i kaaperdamise ja binaarfailide allalaadimise kaaperdamise eest
  • postapi.bin – aruandlusrelee, mis võtab DKnifelt kogutud andmeid vastu ja edastab need kaug-C2 serveritesse.
  • sslmm.bin – modifitseeritud HAProxy pöördproksi, mida kasutatakse TLS-i lõpetamiseks, e-posti dekrüpteerimiseks ja URL-i ümbersuunamiseks
  • mmdown.bin – uuendaja, mis loob ühenduse kõvakodeeritud C2 serveriga pahatahtlike Androidi APK-de allalaadimiseks
  • yitiji.bin – pakettide edastaja, mis loob ründaja poolt sisestatud LAN-liikluse jaoks ruuteris sillatud TAP-liidese.
  • remote.bin – Peer-to-peer VPN-klient, mis loob sidekanaleid kaug-C2 infrastruktuuriga
  • dkupdate.bin – uuendaja ja valvekoera moodul, mis tagab kõigi komponentide püsivuse ja käideldavuse

Volituste kogumine tekstisisese dekrüpteerimise abil

DKnife sisaldab spetsiaalset funktsionaalsust volituste varguse vastu, mis on suunatud eelkõige suurele Hiina e-posti pakkujale. Moodul sslmm.bin pakub klientidele ründaja kontrolli all olevaid TLS-sertifikaate, lõpetab ja dekrüpteerib POP3- ja IMAP-ühendused ning kontrollib saadud lihttekstiliiklust, et hankida kasutajanimesid ja paroole. Kogutud volitused märgistatakse vastavalt, edastatakse postapi.bin-ile ja edastatakse kaug-C2 serveritele kogumiseks ja analüüsimiseks.

Sügav pakettide kontroll rünnaku võimaldajana

Raamistiku keskmes on dknife.bin, mis võimaldab ulatuslikku süvapaketikontrolli ja reaalajas liikluse analüüsi. See võimekus võimaldab operaatoritel sujuvalt üle minna passiivse jälgimise ja aktiivsete otserünnakute vahel, sealhulgas asendada legitiimsed tarkvara allalaadimised pahatahtlike koormustega.

Peamised operatiivsed võimed

  • Uuendatud C2 konfiguratsioonide levitamine DarkNimbus pahavara Androidi ja Windowsi variantidele
  • DNS-põhine kaaperdamine nii IPv4 kui ka IPv6 kaudu, et suunata ümber JD.com-iga seotud domeenidega seotud liiklus.
  • Hiina uudiste, voogedastusmeedia, pilditöötluse, e-kaubanduse, sõidujagamise, mängude ja täiskasvanutele mõeldud videoplatvormide Androidi rakenduste värskenduste pealtkuulamine ja asendamine
  • Windowsi ja muude binaarfailide kaaperdamine ShadowPadi tagaukse edastamiseks DLL-i külglaadimise kaudu, millele järgnes DarkNimbuse laadimine
  • Viirusetõrje- ja süsteemihaldustarkvara, sh 360 ja Tencenti toodete side katkemine
  • Kasutajakäitumise jälgimine reaalajas, liigitatuna tegevuste kaupa nagu sõnumid, hääl- ja videokõned, ostlemine, uudiste tarbimine, kaardiotsingud, voogedastus, mängimine, tutvumine, sõidujagamine ja e-posti kasutamine

Mõju võrgu serva turvalisusele

Ruuterid ja servaseadmed on jätkuvalt väärtuslikud sihtmärgid täiustatud ja sihitud sissetungimiskampaaniates. Kuna ohutegijad keskenduvad üha enam sellele infrastruktuuri kihile, muutub nähtavus nende kasutatavate tööriistade ja tehnikate osas oluliseks. DKnife'i raamistiku avalikustamine rõhutab tänapäevaste AitM-ohtude küpsust, mis ühendavad sügava pakettide kontrolli, liikluse manipuleerimise ja kohandatud pahavara edastamise, et rünnata laia valikut seadmeid suures mahus.

Trendikas

Enim vaadatud

Laadimine...