چارچوب DKnife AitM

محققان امنیت سایبری یک چارچوب پیچیده‌ی نظارت بر دروازه و دشمن در میانه (AitM) به نام DKnife را فاش کرده‌اند که به عوامل تهدید چینی نسبت داده می‌شود و حداقل از سال ۲۰۱۹ فعال بوده است. این چارچوب به طور خاص برای فعالیت در لبه‌ی شبکه ساخته شده است و امکان بازرسی پنهان ترافیک، دستکاری و انتشار بدافزار را از طریق روترها و دستگاه‌های لبه‌ی آسیب‌پذیر فراهم می‌کند.

هدف‌گیری استراتژیک کاربران چینی‌زبان

به نظر می‌رسد DKnife در درجه اول کاربران چینی‌زبان را هدف قرار می‌دهد. این ارزیابی توسط شاخص‌های متعددی پشتیبانی می‌شود، از جمله صفحات فیشینگ متناسب با ارائه‌دهندگان ایمیل چینی، ماژول‌های استخراج داده‌ها که بر برنامه‌های تلفن همراه چینی پرکاربرد مانند WeChat متمرکز هستند و ارجاعات کدگذاری شده به دامنه‌های رسانه‌ای چینی در کد منبع. با این حال، محققان هشدار می‌دهند که این نتیجه‌گیری بر اساس فایل‌های پیکربندی بازیابی شده از یک سرور فرماندهی و کنترل (C2) واحد است و امکان زیرساخت‌های موازی متناسب با مناطق دیگر را فراهم می‌کند.

ارتباط با فعالیت‌های تهدیدآمیز گسترده‌ترِ همسو با چین

این چارچوب در جریان تحقیقات مربوط به یک خوشه تهدید گسترده‌تر چینی با نام Earth Minotaur کشف شد که با کیت بهره‌برداری MOONSHINE و درب پشتی DarkNimbus (که با نام DarkNights نیز شناخته می‌شود) مرتبط بوده است. نکته قابل توجه این است که DarkNimbus توسط یک گروه تهدید پیشرفته مداوم دیگر همسو با چین به نام TheWizards نیز مستقر شده است.

تجزیه و تحلیل زیرساخت‌ها، همپوشانی‌هایی را بین DKnife و WizardNet، یک ایمپلنت ویندوز که توسط TheWizards استفاده می‌شود و از طریق یک چارچوب AitM به نام Spellbinder ارائه می‌شود، نشان داد که در آوریل 2025 به طور عمومی مستند شده است. این ارتباطات با توجه به هدف قرار دادن افراد و نهادهای مرتبط با قمار توسط TheWizards در سراسر کامبوج، هنگ کنگ، سرزمین اصلی چین، فیلیپین و امارات متحده عربی، قابل توجه است.

معماری ماژولار و متمرکز بر لینوکس

برخلاف WizardNet، DKnife به طور خاص برای محیط‌های مبتنی بر لینوکس طراحی شده است، که آن را برای استقرار در روترها و دستگاه‌های لبه‌ای بسیار مناسب می‌کند. این چارچوب از طریق یک دانلودکننده ELF ارائه می‌شود و از یک طراحی ماژولار استفاده می‌کند که به اپراتورها اجازه می‌دهد قابلیت‌هایی از جمله ارسال بسته تا رهگیری و دستکاری کامل ترافیک را به صورت انتخابی فعال کنند.

اجزای چارچوب DKnife

• dknife.bin - ماژول اصلی مسئول بازرسی عمیق بسته‌ها، نظارت بر فعالیت کاربر، ربودن DNS و ربودن دانلود باینری
• postapi.bin - یک رله گزارش‌دهی که داده‌های جمع‌آوری‌شده را از DKnife دریافت کرده و آن را به سرورهای کنترل و فرمان از راه دور ارسال می‌کند.
• sslmm.bin - یک پروکسی معکوس HAProxy اصلاح‌شده که برای خاتمه TLS، رمزگشایی ایمیل و تغییر مسیر URL استفاده می‌شود

برداشت اعتبارنامه از طریق رمزگشایی درون‌خطی

DKnife شامل قابلیت‌های اختصاصی برای سرقت اعتبارنامه‌ها، به‌ویژه هدف قرار دادن یک ارائه‌دهنده بزرگ ایمیل چینی است. ماژول sslmm.bin گواهی‌های TLS تحت کنترل مهاجم را به کلاینت‌ها ارائه می‌دهد، اتصالات POP3 و IMAP را خاتمه داده و رمزگشایی می‌کند و ترافیک متن ساده حاصل را برای استخراج نام‌های کاربری و رمزهای عبور بررسی می‌کند. اعتبارنامه‌های برداشت‌شده بر اساس آن برچسب‌گذاری می‌شوند، به postapi.bin منتقل می‌شوند و برای جمع‌آوری و تجزیه و تحلیل به سرورهای C2 از راه دور منتقل می‌شوند.

بازرسی عمیق بسته‌ها به عنوان یک عامل فعال‌کننده حمله

در قلب این چارچوب، dknife.bin قرار دارد که امکان بازرسی عمیق و گسترده بسته‌ها و تجزیه و تحلیل ترافیک در لحظه را فراهم می‌کند. این قابلیت به اپراتورها اجازه می‌دهد تا به طور یکپارچه بین نظارت غیرفعال و حملات فعال درون خطی، از جمله جایگزینی دانلودهای نرم‌افزاری قانونی با بارهای مخرب، تغییر حالت دهند.

قابلیت‌های عملیاتی کلیدی

• توزیع پیکربندی‌های به‌روز شده‌ی C2 در نسخه‌های اندروید و ویندوزی بدافزار DarkNimbus
• ربودن مبتنی بر DNS بر روی IPv4 و IPv6 برای تغییر مسیر ترافیک مرتبط با دامنه‌های مرتبط با JD.com
• رهگیری و جایگزینی به‌روزرسانی‌های برنامه‌های اندروید برای اخبار چینی، رسانه‌های استریم، ویرایش تصویر، تجارت الکترونیک، سرویس‌های اشتراک خودرو، بازی و پلتفرم‌های ویدیویی بزرگسالان
• ربودن ویندوز و سایر دانلودهای باینری برای اجرای در پشتی ShadowPad از طریق بارگذاری جانبی DLL و متعاقباً بارگیری DarkNimbus
• اختلال در ارتباطات از طریق آنتی‌ویروس و نرم‌افزارهای مدیریت سیستم، از جمله محصولات ۳۶۰ و Tencent
• نظارت لحظه‌ای بر رفتار کاربر، دسته‌بندی‌شده در فعالیت‌هایی مانند پیام‌رسانی، تماس‌های صوتی و تصویری، خرید، مصرف اخبار، جستجوی نقشه، پخش آنلاین، بازی، قرار ملاقات، اشتراک‌گذاری خودرو و استفاده از ایمیل

پیامدهای امنیت لبه شبکه

روترها و دستگاه‌های لبه همچنان اهداف باارزشی در کمپین‌های نفوذ پیشرفته و هدفمند هستند. از آنجایی که مهاجمان به طور فزاینده‌ای بر این لایه از زیرساخت تمرکز می‌کنند، شفافیت در ابزارها و تکنیک‌هایی که آنها به کار می‌گیرند ضروری می‌شود. افشای چارچوب DKnife، بلوغ تهدیدات مدرن AitM را برجسته می‌کند که بازرسی عمیق بسته‌ها، دستکاری ترافیک و ارائه بدافزارهای سفارشی را برای به خطر انداختن طیف وسیعی از انواع دستگاه‌ها در مقیاس بزرگ ترکیب می‌کنند.