Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) DKnife AitM okvir

DKnife AitM okvir

Do Mezo. Napredna trajna prijetnja (APT), Malware. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su sofisticirani okvir za praćenje mrežnih prolaza i djelovanje protivnika u sredini (AitM) poznat kao DKnife, koji se pripisuje akterima prijetnji iz kineske mreže i aktivan je najmanje od 2019. Okvir je namjenski izgrađen za rad na rubu mreže, omogućujući tajni pregled prometa, manipulaciju i isporuku zlonamjernog softvera putem kompromitiranih usmjerivača i rubnih uređaja.

Strateško ciljanje korisnika koji govore kineski

Čini se da DKnife prvenstveno cilja korisnike koji govore kineski. Ovu procjenu podupiru višestruki pokazatelji, uključujući phishing stranice prilagođene kineskim pružateljima usluga e-pošte, module za izvlačenje podataka usmjerene na široko korištene kineske mobilne aplikacije poput WeChata i ugrađene reference na kineske medijske domene unutar izvornog koda. Istraživači, međutim, upozoravaju da se ovaj zaključak temelji na konfiguracijskim datotekama preuzetim s jednog C2 (Command-and-Control) poslužitelja, što ostavlja otvorenu mogućnost paralelnih infrastruktura prilagođenih drugim regijama.

Veze sa širom aktivnošću prijetnji povezanom s Kinom

Okvir je otkriven tijekom istrage šireg kineskog klastera prijetnji praćenog kao Earth Minotaur, koji je povezan s MOONSHINE exploit kompletom i DarkNimbus (također poznatim kao DarkNights) backdoorom. Značajno je da je DarkNimbus također implementirala druga napredna skupina za perzistentne prijetnje povezana s Kinom, poznata kao TheWizards.

Analiza infrastrukture otkrila je preklapanja između DKnifea i WizardNeta, Windows implantata koji koriste TheWizardsi i isporučuje se putem AitM okvira pod nazivom Spellbinder, što je javno dokumentirano u travnju 2025. Ove veze su značajne s obzirom na poznato ciljanje TheWizardsa na pojedince i subjekte povezane s kockanjem diljem Kambodže, Hong Konga, kontinentalne Kine, Filipina i Ujedinjenih Arapskih Emirata.

Modularna arhitektura usmjerena na Linux

Za razliku od WizardNeta, DKnife je posebno dizajniran za Linux okruženja, što ga čini vrlo prikladnim za implementaciju na usmjerivačima i rubnim uređajima. Okvir se isporučuje putem ELF programa za preuzimanje i koristi modularni dizajn koji omogućuje operaterima selektivno omogućavanje mogućnosti u rasponu od prosljeđivanja paketa do potpunog presretanja i manipulacije prometom.

Komponente DKnife okvira

  • dknife.bin – Osnovni modul odgovoran za dubinsku inspekciju paketa, praćenje aktivnosti korisnika, otmicu DNS-a i otmicu preuzimanja binarnih datoteka
  • postapi.bin – Izvještajni relej koji prima prikupljene podatke od DKnifea i prosljeđuje ih udaljenim C2 poslužiteljima
  • sslmm.bin – Modificirani HAProxy reverzni proxy koji se koristi za TLS prekid, dešifriranje e-pošte i preusmjeravanje URL-ova
  • mmdown.bin – Program za ažuriranje koji se povezuje s ugrađenim C2 poslužiteljem kako bi dohvatio zlonamjerne Android APK-ove
  • yitiji.bin – Prosljeđivač paketa koji stvara premošteno TAP sučelje na usmjerivaču za LAN promet koji je ubacio napadač
  • remote.bin – Peer-to-peer VPN klijent koji uspostavlja komunikacijske kanale s udaljenom C2 infrastrukturom
  • dkupdate.bin – Modul za ažuriranje i nadzor koji osigurava postojanost i dostupnost svih komponenti

Prikupljanje vjerodajnica putem inline dešifriranja

DKnife uključuje namjensku funkcionalnost za krađu vjerodajnica, posebno ciljajući velikog kineskog pružatelja usluga e-pošte. Modul sslmm.bin klijentima predstavlja TLS certifikate koje kontroliraju napadači, prekida i dešifrira POP3 i IMAP veze te pregledava rezultirajući promet u običnom tekstu kako bi izvukao korisnička imena i lozinke. Prikupljene vjerodajnice označavaju se u skladu s tim, prosljeđuju se postapi.bin i prenose na udaljene C2 poslužitelje radi prikupljanja i analize.

Dubinska inspekcija paketa kao omogućivač napada

U središtu okvira leži dknife.bin, koji omogućuje opsežnu dubinsku inspekciju paketa i analizu prometa u stvarnom vremenu. Ova mogućnost omogućuje operaterima besprijekoran prijelaz između pasivnog praćenja i aktivnih inline napada, uključujući zamjenu legitimnih preuzimanja softvera zlonamjernim sadržajem.

Ključne operativne sposobnosti

  • Distribucija ažuriranih C2 konfiguracija na Android i Windows varijante zlonamjernog softvera DarkNimbus
  • Otmica DNS-a preko IPv4 i IPv6 protokola radi preusmjeravanja prometa povezanog s domenama povezanim s JD.com
  • Presretanje i zamjena ažuriranja Android aplikacija za kineske vijesti, streaming medije, uređivanje slika, e-trgovinu, usluge prijevoza, igre i platforme za videozapise za odrasle
  • Otimanje Windowsa i drugih binarnih preuzimanja radi isporuke ShadowPad backdoora putem bočnog učitavanja DLL-a, a potom učitavanja DarkNimbusa.
  • Prekid komunikacije od strane antivirusnog softvera i softvera za upravljanje sustavom, uključujući proizvode tvrtki 360 i Tencent
  • Praćenje ponašanja korisnika u stvarnom vremenu, kategorizirano po aktivnostima kao što su slanje poruka, glasovni i video pozivi, kupovina, praćenje vijesti, pretraživanje karata, streaming, igranje, upoznavanje, dijeljenje prijevoza i korištenje e-pošte

Implikacije za sigurnost mrežnog ruba

Usmjerivači i rubni uređaji i dalje predstavljaju visokovrijedne mete u naprednim, ciljanim kampanjama upada. Kako se akteri prijetnji sve više usredotočuju na ovaj sloj infrastrukture, vidljivost alata i tehnika koje koriste postaje ključna. Izloženost DKnife okvira naglašava zrelost modernih AitM prijetnji, koje kombiniraju dubinsku inspekciju paketa, manipulaciju prometom i prilagođenu isporuku zlonamjernog softvera kako bi ugrozile širok raspon vrsta uređaja u velikim razmjerima.

U trendu

Nagledanije

Učitavam...