Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) DKnife AitM keretrendszer

DKnife AitM keretrendszer

Mezo -ra Advanced Persistent Threat (APT), Malware-ben
Fordítás ide:

Kiberbiztonsági kutatók feltártak egy kifinomult, átjáró-figyelő és közbeékelődést gátló (AitM) keretrendszert, a DKnife-ot, amelyet Kínához kapcsolódó fenyegető szereplőknek tulajdonítanak, és legalább 2019 óta aktív. A keretrendszert kifejezetten a hálózat szélén való működésre tervezték, lehetővé téve a titkos forgalom ellenőrzését, manipulálását és a rosszindulatú programok kézbesítését feltört routereken és peremhálózati eszközökön keresztül.

Kínai anyanyelvű felhasználók stratégiai célzása

Úgy tűnik, hogy a DKnife elsősorban kínai anyanyelvű felhasználókat céloz meg. Ezt a becslést számos mutató alátámasztja, beleértve a kínai e-mail szolgáltatóknak szabott adathalász oldalakat, a széles körben használt kínai mobilalkalmazásokra, például a WeChatre összpontosító adatlopási modulokat, valamint a forráskódban fixen kódolt hivatkozásokat kínai médiadoménekre. A kutatók azonban óvatosságra intenek, hogy ez a következtetés egyetlen Command-and-Control (C2) szerverről kinyert konfigurációs fájlokon alapul, nyitva hagyva a más régiókhoz igazított párhuzamos infrastruktúrák lehetőségét.

Kapcsolatok a Kínához közel álló szélesebb körű fenyegetési tevékenységgel

A keretrendszert egy szélesebb körű kínai fenyegetéscsoport, az Earth Minotaur vizsgálata során leplezték le, amelyet a MOONSHINE exploit kittel és a DarkNimbus (más néven DarkNights) hátsó ajtóval hoztak összefüggésbe. Figyelemre méltó, hogy a DarkNimbus-t egy másik, Kínával együttműködő, fejlett állandó fenyegetést jelentő csoport, a TheWizards is bevetette.

Az infrastruktúra-elemzés átfedéseket tárt fel a DKnife és a WizardNet között. A WizardNet egy Windows-implantátum, amelyet a TheWizards használ, és egy Spellbinder nevű AitM keretrendszeren keresztül szállít, és amelyet 2025 áprilisában dokumentáltak nyilvánosan. Ezek a kapcsolatok jelentősek, tekintve, hogy a TheWizards ismert módon célba vett magánszemélyeket és szerencsejátékkal kapcsolatos szervezeteket Kambodzsában, Hongkongban, Kína szárazföldjén, a Fülöp-szigeteken és az Egyesült Arab Emírségekben.

Linux-központú, moduláris architektúra

A WizardNet-tel ellentétben a DKnife-ot kifejezetten Linux-alapú környezetekre tervezték, így jól alkalmazható routereken és peremhálózati eszközökön. A keretrendszer egy ELF letöltőn keresztül érhető el, és moduláris felépítésű, amely lehetővé teszi az operátorok számára, hogy szelektíven engedélyezzék a képességeket a csomagtovábbítástól a teljes forgalom elfogásáig és manipulálásáig.

DKnife keretrendszer-összetevők

  • dknife.bin – A mély csomagvizsgálatért, a felhasználói aktivitás figyeléséért, a DNS-eltérítésért és a bináris letöltések eltérítéséért felelős központi modul.
  • postapi.bin – Egy jelentéskészítő relé, amely fogadja a DKnife-tól begyűjtött adatokat, és továbbítja azokat távoli C2 szerverekre.
  • sslmm.bin – Módosított HAProxy fordított proxy, amelyet TLS-lezáráshoz, e-mail-visszafejtéshez és URL-átirányításhoz használnak.
  • mmdown.bin – Egy frissítő, amely egy fixen kódolt C2 szerverhez csatlakozik a rosszindulatú Android APK-k letöltéséhez
  • yitiji.bin – Egy csomagtovábbító, amely egy áthidalt TAP interfészt hoz létre a routeren a támadó által befecskendezett LAN forgalom számára.
  • remote.bin – Egy peer-to-peer VPN kliens, amely kommunikációs csatornákat hoz létre a távoli C2 infrastruktúrával
  • dkupdate.bin – Frissítő és felügyeleti modul, amely biztosítja az összes komponens megőrzését és elérhetőségét.

Hitelesítő adatok begyűjtése beágyazott dekódolással

A DKnife dedikált funkciókat tartalmaz a hitelesítő adatok ellopására, különösen egy nagy kínai e-mail szolgáltató ellen. Az sslmm.bin modul a támadó által ellenőrzött TLS-tanúsítványokat adja át az ügyfeleknek, leállítja és visszafejti a POP3 és IMAP kapcsolatokat, és megvizsgálja a kapott egyszerű szöveges forgalmat a felhasználónevek és jelszavak kinyerése érdekében. A begyűjtött hitelesítő adatokat ennek megfelelően címkézi, továbbítja a postapi.bin modulnak, és távoli C2-kiszolgálókra továbbítja gyűjtés és elemzés céljából.

Mély csomagvizsgálat, mint támadást elősegítő eszköz

A keretrendszer középpontjában a dknife.bin áll, amely lehetővé teszi a kiterjedt mélyreható csomagvizsgálatot és a valós idejű forgalomelemzést. Ez a képesség lehetővé teszi az operátorok számára a zökkenőmentes átmenetet a passzív monitorozás és az aktív, soron belüli támadások között, beleértve a legitim szoftverletöltések rosszindulatú hasznos adatokkal való helyettesítését is.

Kulcsfontosságú működési képességek

  • Frissített C2 konfigurációk terjesztése a DarkNimbus kártevő Android és Windows változataira
  • DNS-alapú eltérítés IPv4 és IPv6 között a JD.com-hoz kapcsolódó domainekhez kapcsolódó forgalom átirányítása érdekében
  • Kínai hírek, streaming média, képszerkesztő, e-kereskedelmi, fuvarmegosztó, játék- és felnőttvideók platformjainak Android-alkalmazás-frissítéseinek lehallgatása és cseréje
  • A Windows és más bináris letöltések eltérítése a ShadowPad hátsó ajtó DLL oldalra töltésével történő eljuttatása érdekében, majd a DarkNimbus betöltése.
  • A víruskereső és rendszerfelügyeleti szoftverek, beleértve a 360 és a Tencent termékeit is, kommunikációjának megszakadása
  • A felhasználói viselkedés valós idejű monitorozása, olyan tevékenységek szerint kategorizálva, mint az üzenetküldés, hang- és videohívások, vásárlás, hírfogyasztás, térképkeresés, streamelés, játék, randizás, fuvarmegosztás és e-mail-használat

A hálózati peremhálózati biztonság következményei

Az útválasztók és a peremhálózati eszközök továbbra is magas értékű célpontokat jelentenek a fejlett, célzott behatolási kampányokban. Mivel a fenyegetések szereplői egyre inkább erre az infrastruktúra rétegre összpontosítanak, elengedhetetlenné válik az általuk alkalmazott eszközök és technikák láthatósága. A DKnife keretrendszer bemutatása kiemeli a modern AitM-fenyegetések érettségét, amelyek a mélyreható csomagvizsgálatot, a forgalommanipulációt és a testreszabott rosszindulatú programok kézbesítését ötvözik, hogy nagy léptékben feltörjék az eszköztípusok széles skáláját.

Felkapott

AISURU/Kimwolf botnet

Botnetek, Advanced Persistent Threat (APT)
Az AISURU/Kimwolf néven nyomon követett elosztott szolgáltatásmegtagadási (DDoS) botnetet egy példátlan támadással hozták összefüggésbe, amely másodpercenként 31,4 terabit (Tbps) sebességgel tetőzött. Rendkívüli intenzitása ellenére a támadás rövid volt, mindössze 35 másodpercig tartott. Az incidens 2025 novemberében történt, és mára a valaha megfigyelt legnagyobb DDoS-támadásnak számít. A...

Legnézettebb

Betöltés...