הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) מסגרת AitM של DKnife

מסגרת AitM של DKnife

עד Mezo ב-איום מתמשך מתקדם (APT), תוכנה זדונית
לתרגם ל:

חוקרי אבטחת סייבר חשפו מסגרת מתוחכמת של ניטור שערים ו-AitM (Adversary-in-the-Media) המכונה DKnife, המיוחסת לגורמי איום הקשורים לסין ופעילה מאז לפחות 2019. המסגרת בנויה במיוחד לפעול בקצה הרשת, ומאפשרת בדיקה חשאית של תעבורה, מניפולציה והעברת תוכנות זדוניות דרך נתבים ומכשירי קצה שנפגעו.

מיקוד אסטרטגי של משתמשים דוברי סינית

נראה כי DKnife מכוון בעיקר למשתמשים דוברי סינית. הערכה זו נתמכת על ידי אינדיקטורים מרובים, כולל דפי פישינג המותאמים לספקי דוא"ל סיניים, מודולי חילוץ נתונים המתמקדים באפליקציות מובייל סיניות נפוצות כמו WeChat, והפניות קידוד קשיחות לדומייני מדיה סיניים בתוך קוד המקור. עם זאת, החוקרים מזהירים כי מסקנה זו מבוססת על קבצי תצורה שאוחזרו משרת פיקוד ובקרה (C2) יחיד, מה שמותיר את האפשרות של תשתיות מקבילות המותאמות לאזורים אחרים.

קשרים לפעילות איום רחבה יותר הקשורה לסין

המסגרת נחשפה במהלך חקירת אשכול איומים סיני רחב יותר, שעקבו אחר דמותו כ-Earth Minotaurus, אשר נקשר לערכת הניצול MOONSHINE ולדלת האחורית DarkNimbus (הידוע גם בשם DarkNights). ראוי לציין כי DarkNimbus נפרס גם על ידי קבוצת איומים מתקדמת נוספת, הקשורה לסין, המכונה TheWizards.

ניתוח תשתיות גילה חפיפות בין DKnife לבין WizardNet, שתל Windows בו משתמש TheWizards ומסופק דרך מסגרת AitM בשם Spellbinder, שתועד בפומבי באפריל 2025. קשרים אלה משמעותיים בהתחשב בעובדה הידועה של TheWizards כמיקוד של אנשים פרטיים וישויות הקשורות להימורים ברחבי קמבודיה, הונג קונג, סין היבשתית, הפיליפינים ואיחוד האמירויות הערביות.

ארכיטקטורה מודולרית המתמקדת בלינוקס

בניגוד ל-WizardNet, DKnife תוכנן במיוחד עבור סביבות מבוססות לינוקס, מה שהופך אותו מתאים היטב לפריסה על נתבים ומכשירי קצה. המסגרת מסופקת באמצעות הורדת ELF ומשתמשת בעיצוב מודולרי המאפשר למפעילים להפעיל באופן סלקטיבי יכולות החל מהעברת חבילות ועד יירוט ומניפולציה מלאים של תעבורה.

רכיבי מסגרת DKnife

  • dknife.bin – מודול הליבה האחראי על בדיקת חבילות עמוקה, ניטור פעילות משתמשים, חטיפת DNS וחטיפת הורדות בינאריות
  • postapi.bin – ממסר דיווח שמקבל נתונים שנאספו מ-DKnife ומעביר אותם לשרתי C2 מרוחקים.
  • sslmm.bin – פרוקסי הפוך HAProxy שעבר שינוי המשמש לסיום TLS, פענוח דוא"ל והפניית כתובת URL
  • mmdown.bin – עדכון שמתחבר לשרת C2 מקודד כדי לאחזר קבצי APK זדוניים של אנדרואיד
  • yitiji.bin – מעביר חבילות שיוצר ממשק TAP מגושר בנתב עבור תעבורת LAN המוזרקת על ידי התוקפים.
  • remote.bin – לקוח VPN עמית לעמית שמקים ערוצי תקשורת עם תשתית C2 מרוחקת
  • dkupdate.bin – מודול עדכון ומעקב המבטיח את זמינותם והקפדה של כל הרכיבים

איסוף אישורים באמצעות פענוח מקוון

DKnife כולל פונקציונליות ייעודית לגניבת אישורים, במיוחד נגד ספק דוא"ל סיני גדול. מודול sslmm.bin מציג אישורי TLS הנשלטים על ידי תוקפים ללקוחות, מנתק ומפענח חיבורי POP3 ו-IMAP, ובודק את תעבורת הטקסט הרגיל שנוצרת כדי לחלץ שמות משתמש וסיסמאות. האישורים שנאספו מתויגים בהתאם, מועברים ל- postapi.bin ומועברים לשרתי C2 מרוחקים לאיסוף וניתוח.

בדיקת חבילות עמוקה כגורם מאפשר התקפה

בלב המסגרת נמצא dknife.bin, המאפשר בדיקת חבילות עמוקה ומקיפה וניתוח תעבורה בזמן אמת. יכולת זו מאפשרת למפעילים לעבור בצורה חלקה בין ניטור פסיבי להתקפות פעילות מקוונות, כולל החלפת הורדות תוכנה לגיטימיות במטענים זדוניים.

יכולות תפעוליות מרכזיות

  • הפצת תצורות C2 מעודכנות לגרסאות אנדרואיד ו-Windows של תוכנת הזדונית DarkNimbus
  • חטיפה מבוססת DNS דרך IPv4 ו-IPv6 כדי להפנות מחדש תעבורה הקשורה לדומיינים הקשורים ל-JD.com
  • יירוט והחלפה של עדכוני אפליקציות אנדרואיד עבור חדשות סיניות, מדיה סטרימינג, עריכת תמונות, מסחר אלקטרוני, נסיעות נסיעות, משחקים ופלטפורמות וידאו למבוגרים
  • חטיפת Windows והורדות בינאריות אחרות כדי לספק את הדלת האחורית של ShadowPad באמצעות טעינה צדדית של DLL, ולאחר מכן טעינת DarkNimbus
  • שיבוש תקשורת מתוכנות אנטי-וירוס וניהול מערכת, כולל מוצרים של 360 ו-Tencent
  • ניטור בזמן אמת של התנהגות משתמשים, מסווג לפי פעילויות כגון העברת הודעות, שיחות קוליות ווידאו, קניות, צריכת חדשות, חיפושי מפות, סטרימינג, משחקים, היכרויות, שיתוף נסיעות ושימוש בדוא"ל

השלכות על אבטחת קצה הרשת

נתבים והתקני קצה ממשיכים לייצג מטרות בעלות ערך גבוה בקמפיינים מתקדמים וממוקדים של חדירה. ככל שגורמי איום מתמקדים יותר ויותר בשכבה זו של התשתית, נראות של הכלים והטכניקות שהם משתמשים בהם הופכת חיונית. חשיפת מסגרת DKnife מדגישה את בגרותם של איומי AitM מודרניים, המשלבים בדיקת חבילות עמוקה, מניפולציה של תעבורה והעברת תוכנות זדוניות מותאמות אישית כדי לפגוע במגוון רחב של סוגי מכשירים בקנה מידה גדול.

מגמות

AISURU/Kimwolf Botnet

Botnets, איום מתמשך מתקדם (APT)
רשת הבוטים המבוזרת של מניעת שירות (DDoS) שעקבה אחריה בשם AISURU/Kimwolf נקשרה למתקפה חסרת תקדים שהגיעה לשיאה ל-31.4 טרה-ביט לשנייה (Tbps). למרות עוצמתה הקיצונית, המתקפה הייתה קצרה ונמשכה 35 שניות בלבד. האירוע התרחש בנובמבר 2025 וכעת נחשב למתקפת ה-DDoS הגדולה ביותר שנצפתה אי פעם. עלייתן של התקפות HTTP היפר-וולומטריות חוקרי אבטחה זיהו אירוע זה כחלק מגאות רחבה יותר בפעילות DDoS היפר-נפחית של HTTP,...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
26,653
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...