Vairāku licenču atlaides piedāvājums
Draudu datu bāze Advanced Persistent Threat (APT) DKnife AitM ietvars

DKnife AitM ietvars

Līdz Mezo. gadam Advanced Persistent Threat (APT), Ļaunprātīga programmatūra. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši sarežģītu vārteju uzraudzības un pretinieka vidū nostiprināšanas (AitM) sistēmu, kas pazīstama kā DKnife, kas tiek piedēvēta Ķīnas apdraudējuma dalībniekiem un ir aktīva vismaz kopš 2019. gada. Šī sistēma ir īpaši izstrādāta, lai darbotos tīkla malā, nodrošinot slepenu datplūsmas pārbaudi, manipulācijas un ļaunprogrammatūras piegādi, izmantojot kompromitētus maršrutētājus un perifērijas ierīces.

Ķīniešu valodā runājošo lietotāju stratēģiska mērķauditorijas atlasīšana

Šķiet, ka DKnife galvenokārt mērķē uz ķīniešu valodā runājošiem lietotājiem. Šo novērtējumu apstiprina vairāki rādītāji, tostarp pikšķerēšanas lapas, kas pielāgotas Ķīnas e-pasta pakalpojumu sniedzējiem, datu izspiešanas moduļi, kas vērsti uz plaši izmantotām ķīniešu mobilajām lietojumprogrammām, piemēram, WeChat, un avota kodā iekodētas atsauces uz Ķīnas mediju domēniem. Tomēr pētnieki brīdina, ka šis secinājums ir balstīts uz konfigurācijas failiem, kas izgūti no viena vadības un kontroles (C2) servera, atstājot atvērtu paralēlu infrastruktūru iespēju, kas pielāgotas citiem reģioniem.

Saistība ar plašāku Ķīnas atbalstītu draudu aktivitāti

Šī sistēma tika atklāta plašāka Ķīnas apdraudējumu klastera, kas tika izsekots kā Earth Minotaur, izmeklēšanas laikā, kas ir saistīts ar MOONSHINE ekspluatācijas komplektu un DarkNimbus (pazīstams arī kā DarkNights) aizmugurējo durvju sistēmu. Jāatzīmē, ka DarkNimbus ir izvietojusi arī cita ar Ķīnu saistīta progresīva pastāvīgo apdraudējumu grupa, kas pazīstama kā TheWizards.

Infrastruktūras analīze atklāja pārklāšanos starp DKnife un WizardNet — Windows implantu, ko izmanto TheWizards un kas tiek piegādāts, izmantojot AitM ietvaru ar nosaukumu Spellbinder, kas publiski dokumentēts 2025. gada aprīlī. Šīs saiknes ir nozīmīgas, ņemot vērā TheWizards zināmo mērķauditorijas atlasi pret personām un ar azartspēlēm saistītām organizācijām Kambodžā, Honkongā, kontinentālajā Ķīnā, Filipīnās un Apvienotajos Arābu Emirātos.

Linux orientēta, modulāra arhitektūra

Atšķirībā no WizardNet, DKnife ir īpaši izstrādāts Linux vidēm, padarot to labi piemērotu izvietošanai maršrutētājos un perifērijas ierīcēs. Sistēma tiek piegādāta, izmantojot ELF lejupielādētāju, un izmanto modulāru dizainu, kas ļauj operatoriem selektīvi iespējot iespējas, sākot no pakešu pārsūtīšanas līdz pilnīgai datplūsmas pārtveršanai un manipulēšanai.

DKnife ietvara komponenti

  • dknife.bin – Galvenais modulis, kas atbild par dziļu pakešu pārbaudi, lietotāju aktivitāšu uzraudzību, DNS nolaupīšanu un bināro lejupielāžu nolaupīšanu.
  • postapi.bin — atskaišu relejs, kas saņem no DKnife ievāktos datus un pārsūta tos uz attāliem C2 serveriem.
  • sslmm.bin — modificēts HAProxy apgrieztais starpniekserveris, ko izmanto TLS pārtraukšanai, e-pasta atšifrēšanai un URL pāradresācijai.
  • mmdown.bin — atjauninātājs, kas izveido savienojumu ar cietkodētu C2 serveri, lai izgūtu ļaunprātīgus Android APK failus.
  • yitiji.bin — pakešu pārsūtītājs, kas maršrutētājā izveido savienotu TAP saskarni uzbrucēja ievadītai lokālā tīkla datplūsmai.
  • remote.bin – vienādranga VPN klients, kas izveido saziņas kanālus ar attālo C2 infrastruktūru
  • dkupdate.bin – atjauninātājs un sargsuņa modulis, kas nodrošina visu komponentu noturību un pieejamību.

Akreditācijas datu iegūšana, izmantojot iekļauto atšifrēšanu

DKnife ietver īpašu funkcionalitāti akreditācijas datu zādzību apkarošanai, īpaši vēršoties pret lielu Ķīnas e-pasta pakalpojumu sniedzēju. Modulis sslmm.bin klientiem piedāvā uzbrucēja kontrolētus TLS sertifikātus, pārtrauc un atšifrē POP3 un IMAP savienojumus, kā arī pārbauda iegūto vienkāršā teksta datplūsmu, lai iegūtu lietotājvārdus un paroles. Iegūtie akreditācijas dati tiek attiecīgi marķēti, nodoti postapi.bin un pārsūtīti uz attāliem C2 serveriem apkopošanai un analīzei.

Dziļā pakešu pārbaude kā uzbrukuma veicinātājs

Sistēmas pamatā ir dknife.bin, kas nodrošina plašu dziļu pakešu pārbaudi un datplūsmas analīzi reāllaikā. Šī iespēja ļauj operatoriem nemanāmi pārslēgties starp pasīvu uzraudzību un aktīviem uzbrukumiem tiešsaistē, tostarp aizstājot likumīgas programmatūras lejupielādes ar ļaunprātīgām kravām.

Galvenās operacionālās spējas

  • Atjauninātu C2 konfigurāciju izplatīšana DarkNimbus ļaunprogrammatūras Android un Windows variantiem
  • DNS balstīta gan IPv4, gan IPv6 pārtveršana, lai novirzītu ar JD.com saistītiem domēniem saistīto datplūsmu
  • Ķīnas ziņu, straumēšanas multivides, attēlu rediģēšanas, e-komercijas, braucienu pasūtīšanas, spēļu un pieaugušo video platformu Android lietojumprogrammu atjauninājumu pārtveršana un aizstāšana
  • Windows un citu bināro lejupielāžu nolaupīšana, lai piegādātu ShadowPad aizmugurējo durvju sistēmu, izmantojot DLL sānu ielādi, pēc tam ielādējot DarkNimbus.
  • Saziņas traucējumi no pretvīrusu un sistēmas pārvaldības programmatūras, tostarp 360 un Tencent produktiem
  • Lietotāju uzvedības uzraudzība reāllaikā, kategorizējot to pēc aktivitātēm, piemēram, ziņojumapmaiņas, balss un video zvaniem, iepirkšanās, ziņu patēriņa, karšu meklēšanas, straumēšanas, spēļu, iepazīšanās, kopbraukšanas un e-pasta lietošanas.

Ietekme uz tīkla malas drošību

Maršrutētāji un perifērijas ierīces joprojām ir vērtīgi mērķi progresīvās, mērķtiecīgās ielaušanās kampaņās. Tā kā apdraudējumu veidotāji arvien vairāk koncentrējas uz šo infrastruktūras slāni, būtiska kļūst pārskatāmība par viņu izmantotajiem rīkiem un metodēm. DKnife ietvara publiskošana uzsver mūsdienu AitM apdraudējumu briedumu, kas apvieno dziļu pakešu pārbaudi, datplūsmas manipulāciju un pielāgotu ļaunprogrammatūras piegādi, lai plašā mērogā apdraudētu plašu ierīču veidu klāstu.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
26,653
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...