DKnife AitM Framework

साइबर सुरक्षा शोधकर्ताओं ने डीनाइफ नामक एक परिष्कृत गेटवे-मॉनिटरिंग और एडवर्सरी-इन-द-मिडल (एआईटीएम) फ्रेमवर्क का खुलासा किया है, जिसका संबंध चीन से जुड़े खतरे पैदा करने वाले तत्वों से है और जो कम से कम 2019 से सक्रिय है। यह फ्रेमवर्क नेटवर्क के किनारे पर काम करने के लिए विशेष रूप से बनाया गया है, जो समझौता किए गए राउटर और एज डिवाइस के माध्यम से गुप्त रूप से ट्रैफिक निरीक्षण, हेरफेर और मैलवेयर पहुंचाने में सक्षम बनाता है।

चीनी भाषी उपयोगकर्ताओं को रणनीतिक रूप से लक्षित करना

ऐसा प्रतीत होता है कि DKnife मुख्य रूप से चीनी भाषा बोलने वाले उपयोगकर्ताओं को निशाना बनाता है। इस आकलन को कई संकेतकों से बल मिलता है, जिनमें चीनी ईमेल प्रदाताओं के लिए तैयार किए गए फ़िशिंग पेज, WeChat जैसे व्यापक रूप से उपयोग किए जाने वाले चीनी मोबाइल एप्लिकेशन पर केंद्रित डेटा एक्सफ़िल्ट्रेशन मॉड्यूल और स्रोत कोड में चीनी मीडिया डोमेन के अंतर्निहित संदर्भ शामिल हैं। हालांकि, शोधकर्ताओं ने चेतावनी दी है कि यह निष्कर्ष एक ही कमांड-एंड-कंट्रोल (C2) सर्वर से प्राप्त कॉन्फ़िगरेशन फ़ाइलों पर आधारित है, जिससे अन्य क्षेत्रों के लिए तैयार किए गए समानांतर बुनियादी ढांचे की संभावना बनी रहती है।

चीन से संबद्ध व्यापक खतरे की गतिविधियों से संबंध

यह ढांचा अर्थ मिनोटौर नामक एक व्यापक चीनी खतरे के समूह की जांच के दौरान सामने आया, जिसका संबंध मूनशाइन एक्सप्लॉइट किट और डार्कनिम्बस (जिसे डार्कनाइट्स के नाम से भी जाना जाता है) बैकडोर से है। गौरतलब है कि डार्कनिम्बस को द विजार्ड्स नामक एक अन्य चीन-समर्थित उन्नत निरंतर खतरे समूह द्वारा भी तैनात किया गया है।

बुनियादी ढांचे के विश्लेषण से डीनाइफ और विजार्डनेट के बीच ओवरलैप का पता चला, जो कि द विजार्ड्स द्वारा इस्तेमाल किया जाने वाला एक विंडोज इम्प्लांट है और जिसे स्पेलबाइंडर नामक एआईटीएम फ्रेमवर्क के माध्यम से वितरित किया जाता है, जिसे अप्रैल 2025 में सार्वजनिक रूप से प्रलेखित किया गया था। ये संबंध महत्वपूर्ण हैं क्योंकि द विजार्ड्स कंबोडिया, हांगकांग, मुख्य भूमि चीन, फिलीपींस और संयुक्त अरब अमीरात में व्यक्तियों और जुआ से संबंधित संस्थाओं को लक्षित करने के लिए जाना जाता है।

लिनक्स-केंद्रित, मॉड्यूलर आर्किटेक्चर

WizardNet के विपरीत, DKnife को विशेष रूप से Linux-आधारित वातावरणों के लिए डिज़ाइन किया गया है, जिससे यह राउटर और एज डिवाइस पर तैनाती के लिए उपयुक्त है। यह फ्रेमवर्क ELF डाउनलोडर के माध्यम से उपलब्ध कराया जाता है और इसमें मॉड्यूलर डिज़ाइन का उपयोग किया गया है जो ऑपरेटरों को पैकेट फॉरवर्डिंग से लेकर पूर्ण ट्रैफ़िक अवरोधन और हेरफेर तक की क्षमताओं को चुनिंदा रूप से सक्षम करने की अनुमति देता है।

डीनाइफ फ्रेमवर्क घटक

• dknife.bin – यह कोर मॉड्यूल डीप पैकेट इंस्पेक्शन, यूजर एक्टिविटी मॉनिटरिंग, DNS हाइजैकिंग और बाइनरी डाउनलोड हाइजैकिंग के लिए जिम्मेदार है।
• postapi.bin – एक रिपोर्टिंग रिले जो DKnife से एकत्रित डेटा प्राप्त करता है और उसे दूरस्थ C2 सर्वरों को अग्रेषित करता है।
• sslmm.bin – TLS टर्मिनेशन, ईमेल डिक्रिप्शन और URL रीडायरेक्शन के लिए उपयोग किया जाने वाला एक संशोधित HAProxy रिवर्स प्रॉक्सी।

• mmdown.bin – एक अपडेटर जो दुर्भावनापूर्ण एंड्रॉइड एपीके प्राप्त करने के लिए हार्ड-कोडेड सी2 सर्वर से कनेक्ट होता है।

• yitiji.bin – एक पैकेट फॉरवर्डर जो हमलावर द्वारा इंजेक्ट किए गए LAN ट्रैफिक के लिए राउटर पर एक ब्रिजेड TAP इंटरफ़ेस बनाता है।

• remote.bin – एक पीयर-टू-पीयर वीपीएन क्लाइंट है जो दूरस्थ C2 इन्फ्रास्ट्रक्चर के साथ संचार चैनल स्थापित करता है।

• dkupdate.bin – एक अपडेटर और वॉचडॉग मॉड्यूल जो सभी घटकों की निरंतरता और उपलब्धता सुनिश्चित करता है।

इनलाइन डिक्रिप्शन के माध्यम से क्रेडेंशियल हार्वेस्टिंग

DKnife में क्रेडेंशियल चोरी के लिए विशेष कार्यक्षमता शामिल है, जो विशेष रूप से एक प्रमुख चीनी ईमेल प्रदाता को निशाना बनाती है। sslmm.bin मॉड्यूल क्लाइंट को हमलावर-नियंत्रित TLS प्रमाणपत्र प्रस्तुत करता है, POP3 और IMAP कनेक्शनों को समाप्त और डिक्रिप्ट करता है, और परिणामी प्लेनटेक्स्ट ट्रैफ़िक का निरीक्षण करके उपयोगकर्ता नाम और पासवर्ड निकालता है। प्राप्त क्रेडेंशियल को तदनुसार लेबल किया जाता है, postapi.bin को भेजा जाता है, और संग्रह और विश्लेषण के लिए दूरस्थ C2 सर्वरों को प्रेषित किया जाता है।

डीप पैकेट इंस्पेक्शन एक आक्रमण सहायक के रूप में

इस फ्रेमवर्क का मुख्य आधार dknife.bin है, जो व्यापक डीप पैकेट निरीक्षण और रीयल-टाइम ट्रैफ़िक विश्लेषण को सक्षम बनाता है। यह क्षमता ऑपरेटरों को निष्क्रिय निगरानी और सक्रिय इन-लाइन हमलों के बीच सहजता से बदलाव करने की अनुमति देती है, जिसमें वैध सॉफ़्टवेयर डाउनलोड को दुर्भावनापूर्ण पेलोड से बदलना भी शामिल है।

प्रमुख परिचालन क्षमताएँ

• डार्कनिम्बस मैलवेयर के एंड्रॉइड और विंडोज वेरिएंट में अपडेटेड C2 कॉन्फ़िगरेशन का वितरण
• JD.com से संबंधित डोमेन से जुड़े ट्रैफ़िक को रीडायरेक्ट करने के लिए IPv4 और IPv6 दोनों पर DNS-आधारित हैकिंग का उपयोग किया जाता है।
• चीनी समाचार, स्ट्रीमिंग मीडिया, इमेज एडिटिंग, ई-कॉमर्स, राइड-हेलिंग, गेमिंग और एडल्ट वीडियो प्लेटफॉर्म के लिए एंड्रॉइड एप्लिकेशन अपडेट को रोकना और बदलना
• विंडोज और अन्य बाइनरी डाउनलोड को हाईजैक करके डीएलएल साइड-लोडिंग के माध्यम से शैडोपैड बैकडोर को डिलीवर करना, जिसके बाद डार्कनिम्बस को लोड किया जाता है।
• एंटीवायरस और सिस्टम-मैनेजमेंट सॉफ़्टवेयर, जिनमें 360 और टेनसेंट के उत्पाद शामिल हैं, से संचार बाधित होना।
• उपयोगकर्ता व्यवहार की रीयल-टाइम निगरानी, जिसे मैसेजिंग, वॉइस और वीडियो कॉल, खरीदारी, समाचार पढ़ना, मानचित्र खोज, स्ट्रीमिंग, गेमिंग, डेटिंग, राइड-शेयरिंग और ईमेल उपयोग जैसी गतिविधियों के आधार पर वर्गीकृत किया गया है।

नेटवर्क एज सुरक्षा के लिए निहितार्थ

राउटर और एज डिवाइस उन्नत, लक्षित घुसपैठ अभियानों में उच्च-मूल्य वाले लक्ष्य बने हुए हैं। जैसे-जैसे हमलावर बुनियादी ढांचे की इस परत पर अधिक ध्यान केंद्रित कर रहे हैं, उनके द्वारा उपयोग किए जाने वाले उपकरणों और तकनीकों की जानकारी होना आवश्यक हो जाता है। डीनाइफ फ्रेमवर्क का खुलासा आधुनिक लक्षित घुसपैठ (AitM) खतरों की परिपक्वता को रेखांकित करता है, जो व्यापक स्तर पर विभिन्न प्रकार के उपकरणों को प्रभावित करने के लिए डीप पैकेट इंस्पेक्शन, ट्रैफिक मैनिपुलेशन और अनुकूलित मैलवेयर डिलीवरी को संयोजित करते हैं।