Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Išplėstinė nuolatinė grėsmė (APT) „DKnife AitM“ sistema

„DKnife AitM“ sistema

Autorius Mezo, Išplėstinė nuolatinė grėsmė (APT), Kenkėjiška programa
Versti į:

Kibernetinio saugumo tyrėjai atskleidė sudėtingą tinklo vartų stebėjimo ir priešininko tarpininkavimo (AitM) sistemą, vadinamą DKnife, priskiriamą Kinijos tinklo grėsmės veikėjams ir veikiančią mažiausiai nuo 2019 m. Ši sistema specialiai sukurta veikti tinklo krašte, leidžiant slapta tikrinti srautą, manipuliuoti juo ir platinti kenkėjiškas programas per pažeistus maršrutizatorius ir kraštinius įrenginius.

Strateginis taikymas į kinų kalba kalbančius vartotojus

Atrodo, kad „DKnife“ daugiausia taikosi į kinų kalba kalbančius vartotojus. Šį vertinimą patvirtina keli rodikliai, įskaitant sukčiavimo puslapius, pritaikytus Kinijos el. pašto paslaugų teikėjams, duomenų išgavimo modulius, skirtus plačiai naudojamoms Kinijos mobiliosioms programėlėms, tokioms kaip „WeChat“, ir užkoduotas nuorodas į Kinijos žiniasklaidos domenus šaltinio kode. Tačiau tyrėjai įspėja, kad ši išvada pagrįsta konfigūracijos failais, gautais iš vieno komandų ir kontrolės (C2) serverio, todėl yra galimybė sukurti lygiagrečias infrastruktūras, pritaikytas kitiems regionams.

Ryšiai su platesne Kinijos palaikoma grėsmių veikla

Ši sistema buvo atskleista tiriant platesnį Kinijos grėsmių klasterį, atsekamą kaip „Earth Minotaur“, kuris buvo siejamas su „MOONSHINE“ spragų rinkiniu ir „DarkNimbus“ (dar žinomu kaip „DarkNights“) galinėmis durimis. Pažymėtina, kad „DarkNimbus“ taip pat panaudojo kita su Kinija susijusi pažangi nuolatinių grėsmių grupuotė, žinoma kaip „TheWizards“.

Infrastruktūros analizė atskleidė „DKnife“ ir „WizardNet“ – „Windows“ implanto, kurį naudoja „TheWizards“ ir kuris diegiamas per „AitM“ sistemą, vadinamą „Spellbinder“, – dubliavimąsi, viešai dokumentuotą 2025 m. balandžio mėn. Šie ryšiai yra reikšmingi, atsižvelgiant į žinomą „TheWizards“ taikinį į asmenis ir su lošimais susijusius subjektus Kambodžoje, Honkonge, žemyninėje Kinijoje, Filipinuose ir Jungtiniuose Arabų Emyratuose.

„Linux“ orientuota modulinė architektūra

Skirtingai nuo „WizardNet“, „DKnife“ yra specialiai sukurta „Linux“ pagrindu veikiančioms aplinkoms, todėl puikiai tinka diegti maršrutizatoriuose ir periferiniuose įrenginiuose. Sistema teikiama per ELF atsisiuntimo programą ir naudoja modulinę konstrukciją, leidžiančią operatoriams pasirinktinai įjungti galimybes – nuo paketų persiuntimo iki visiško srauto perėmimo ir manipuliavimo.

DKnife karkaso komponentai

  • dknife.bin – pagrindinis modulis, atsakingas už giluminį paketų patikrinimą, vartotojų veiklos stebėjimą, DNS užgrobimą ir dvejetainių atsisiuntimų užgrobimą.
  • postapi.bin – ataskaitų perdavimo sistema, kuri gauna surinktus duomenis iš „DKnife“ ir perduoda juos nuotoliniams C2 serveriams.
  • sslmm.bin – modifikuotas atvirkštinis HAProxy tarpinis serveris, naudojamas TLS nutraukimui, el. pašto iššifravimui ir URL peradresavimui.
  • mmdown.bin – atnaujinimo programa, kuri prisijungia prie užkoduoto C2 serverio, kad gautų kenkėjiškas „Android“ APK programas.
  • yitiji.bin – paketų persiuntimo programa, kuri maršrutizatoriuje sukuria sujungtą TAP sąsają užpuoliko įterptam LAN srautui
  • remote.bin – „peer-to-peer“ VPN klientas, kuris užmezga ryšio kanalus su nuotoline C2 infrastruktūra
  • dkupdate.bin – atnaujinimo ir stebėjimo modulis, užtikrinantis visų komponentų patikimumą ir prieinamumą.

    • Įgaliojimų rinkimas naudojant vidinį iššifravimą

    „DKnife“ turi specialią funkciją, skirtą atpažinimo duomenų vagystei, ypač nukreiptą į pagrindinį Kinijos el. pašto paslaugų teikėją. Modulis „sslmm.bin“ klientams pateikia užpuoliko kontroliuojamus TLS sertifikatus, nutraukia ir iššifruoja POP3 ir IMAP ryšius bei tikrina gautą paprasto teksto srautą, kad išgautų vartotojo vardus ir slaptažodžius. Surinkti atpažinimo duomenys atitinkamai pažymimi, perduodami postapi.bin ir perduodami į nuotolinius C2 serverius rinkimui ir analizei.

    Gilus paketų patikrinimas kaip atakų įgalinimo priemonė

    Šios sistemos pagrindas yra „dknife.bin“, leidžiantis atlikti išsamią giluminę paketų patikrą ir srauto analizę realiuoju laiku. Ši galimybė leidžia operatoriams sklandžiai pereiti nuo pasyvaus stebėjimo prie aktyvių tiesioginių atakų, įskaitant teisėtos programinės įrangos atsisiuntimų pakeitimą kenkėjiškais paketais.

    Pagrindinės operacinės galimybės

    • Atnaujintų C2 konfigūracijų platinimas „DarkNimbus“ kenkėjiškos programos „Android“ ir „Windows“ variantuose
    • DNS pagrindu vykdomas IPv4 ir IPv6 užgrobimas, siekiant nukreipti su JD.com susijusiais domenais susijusį srautą
    • „Android“ programų, skirtų Kinijos naujienų, srautinės medijos, vaizdų redagavimo, el. prekybos, pavežėjimo, žaidimų ir suaugusiųjų vaizdo įrašų platformoms, atnaujinimų perėmimas ir pakeitimas
    • „Windows“ ir kitų dvejetainių atsisiuntimų užgrobimas, siekiant pateikti „ShadowPad“ galines duris per DLL šoninį įkėlimą, vėliau įkeliant „DarkNimbus“.
    • Antivirusinės ir sistemos valdymo programinės įrangos, įskaitant „360“ ir „Tencent“ produktus, ryšio sutrikimai
    • Vartotojų elgsenos stebėjimas realiuoju laiku, suskirstytas pagal tokias veiklas kaip žinučių siuntimas, balso ir vaizdo skambučiai, apsipirkimas, naujienų vartojimas, žemėlapių paieška, transliacijos, žaidimai, pasimatymai, pavėžėjimo paslaugos ir el. pašto naudojimas

    Tinklo krašto saugumo pasekmės

    Maršrutizatoriai ir periferiniai įrenginiai ir toliau išlieka vertingais taikiniais pažangiose, tikslinėse įsilaužimo kampanijose. Kadangi grėsmių kūrėjai vis labiau sutelkia dėmesį į šį infrastruktūros lygmenį, tampa labai svarbu matyti jų naudojamas priemones ir metodus. „DKnife“ platformos pristatymas pabrėžia šiuolaikinių „AitM“ grėsmių, kurios derina gilų paketų patikrinimą, srauto manipuliavimą ir pritaikytą kenkėjiškų programų pristatymą, brandą, siekiant dideliu mastu užkrėsti įvairių tipų įrenginius.

    Tendencijos

    AISURU / Kimwolf botnetas

    Botnetai, Išplėstinė nuolatinė grėsmė (APT)
    Paskirstytas paslaugų teikimo trikdymo (DDoS) botnetas, sekamas kaip AISURU/Kimwolf, buvo susietas su precedento neturinčia ataka, kurios piko metu buvo 31,4 terabito per sekundę (Tbps). Nepaisant itin didelio atakos intensyvumo, ji buvo trumpa – truko tik 35 sekundes. Incidentas įvyko 2025 m. lapkritį ir dabar yra didžiausia kada nors stebėta DDoS ataka. Hipervolumetrinių HTTP atakų augimas...

    Labiausiai žiūrima

    Kenkėjiška programa

    Sukčiavimas, Šlamštas
    26,653
    Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
    Įkeliama...