Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Rangka Kerja DKnife AitM

Rangka Kerja DKnife AitM

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), perisian hasad
Terjemahkan ke

Penyelidik keselamatan siber telah mendedahkan rangka kerja pemantauan gerbang dan musuh di tengah (AitM) yang canggih yang dikenali sebagai DKnife, yang dikaitkan dengan pelaku ancaman nexus China dan aktif sekurang-kurangnya sejak 2019. Rangka kerja ini dibina khas untuk beroperasi di pinggir rangkaian, membolehkan pemeriksaan trafik rahsia, manipulasi dan penghantaran perisian hasad melalui penghala dan peranti pinggir yang dikompromi.

Sasaran Strategik Pengguna Berbahasa Cina

DKnife nampaknya menyasarkan pengguna berbahasa Cina terutamanya. Penilaian ini disokong oleh pelbagai petunjuk, termasuk halaman pancingan data yang disesuaikan untuk penyedia e-mel Cina, modul pengekstrakan data yang difokuskan pada aplikasi mudah alih Cina yang digunakan secara meluas seperti WeChat, dan rujukan berkod keras kepada domain media Cina dalam kod sumber. Walau bagaimanapun, para penyelidik mengingatkan bahawa kesimpulan ini adalah berdasarkan fail konfigurasi yang diambil daripada pelayan Perintah-dan-Kawalan (C2) tunggal, yang membuka kemungkinan infrastruktur selari yang disesuaikan dengan wilayah lain.

Hubungan dengan Aktiviti Ancaman Bersebelahan China yang Lebih Luas

Rangka kerja ini telah didedahkan semasa siasatan terhadap kluster ancaman China yang lebih luas yang dikesan sebagai Earth Minotaur, yang telah dikaitkan dengan kit eksploitasi MOONSHINE dan pintu belakang DarkNimbus (juga dikenali sebagai DarkNights). Terutamanya, DarkNimbus juga telah digunakan oleh kumpulan ancaman berterusan canggih lain yang bersekutu dengan China yang dikenali sebagai TheWizards.

Analisis infrastruktur mendedahkan pertindihan antara DKnife dan WizardNet, implan Windows yang digunakan oleh TheWizards dan dihantar melalui rangka kerja AitM yang dipanggil Spellbinder, yang didokumenkan secara terbuka pada April 2025. Hubungan ini penting memandangkan TheWizards telah menyasarkan individu dan entiti berkaitan perjudian di seluruh Kemboja, Hong Kong, Tanah Besar China, Filipina dan Emiriah Arab Bersatu.

Seni Bina Modular yang Berfokuskan Linux

Tidak seperti WizardNet, DKnife direka bentuk khusus untuk persekitaran berasaskan Linux, menjadikannya sangat sesuai untuk penggunaan pada penghala dan peranti pinggir. Rangka kerja ini dihantar melalui pemuat turun ELF dan menggunakan reka bentuk modular yang membolehkan pengendali mendayakan keupayaan secara selektif daripada pemajuan paket hingga pemintasan dan manipulasi trafik penuh.

Komponen Kerangka Kerja DKnife

  • dknife.bin – Modul teras yang bertanggungjawab untuk pemeriksaan paket mendalam, pemantauan aktiviti pengguna, rampasan DNS dan rampasan muat turun binari
  • postapi.bin – Relay pelaporan yang menerima data yang dituai daripada DKnife dan meneruskannya ke pelayan C2 jauh
  • sslmm.bin – Proksi songsang HAProxy yang diubah suai yang digunakan untuk penamatan TLS, penyahsulitan e-mel dan pengalihan URL
  • mmdown.bin – Pengemas kini yang bersambung ke pelayan C2 berkod keras untuk mendapatkan APK Android yang berniat jahat
  • yitiji.bin – Penghantar paket yang mencipta antara muka TAP berjambatan pada penghala untuk trafik LAN yang disuntik penyerang
  • remote.bin – Klien VPN rakan-ke-rakan yang mewujudkan saluran komunikasi dengan infrastruktur C2 jauh
  • dkupdate.bin – Modul pengemas kini dan pengawas yang memastikan kegigihan dan ketersediaan semua komponen

Penuaian Kredensial Melalui Penyahsulitan Dalam Talian

DKnife merangkumi fungsi khusus untuk kecurian kelayakan, terutamanya yang menyasarkan penyedia e-mel utama China. Modul sslmm.bin membentangkan sijil TLS yang dikawal oleh penyerang kepada klien, menamatkan dan menyahsulit sambungan POP3 dan IMAP, dan memeriksa trafik teks biasa yang terhasil untuk mengekstrak nama pengguna dan kata laluan. Kelayakan yang dituai dilabelkan dengan sewajarnya, dihantar ke postapi.bin, dan disampaikan kepada pelayan C2 jauh untuk pengumpulan dan analisis.

Pemeriksaan Paket Dalam sebagai Pemboleh Serangan

Di tengah-tengah rangka kerja ini terletaknya dknife.bin, yang membolehkan pemeriksaan paket mendalam yang meluas dan analisis trafik masa nyata. Keupayaan ini membolehkan pengendali beralih dengan lancar antara pemantauan pasif dan serangan dalam talian aktif, termasuk penggantian muat turun perisian yang sah dengan muatan berniat jahat.

Keupayaan Operasi Utama

  • Pengedaran konfigurasi C2 yang dikemas kini kepada varian Android dan Windows bagi perisian hasad DarkNimbus
  • Rampasan berasaskan DNS ke atas kedua-dua IPv4 dan IPv6 untuk mengalihkan trafik yang berkaitan dengan domain berkaitan JD.com
  • Pemintasan dan penggantian kemas kini aplikasi Android untuk berita Cina, media penstriman, penyuntingan imej, e-dagang, e-panggilan, permainan dan platform video dewasa
  • Rampasan Windows dan muat turun binari lain untuk menghantar pintu belakang ShadowPad melalui pemuatan sisi DLL, seterusnya memuatkan DarkNimbus
  • Gangguan komunikasi daripada perisian antivirus dan pengurusan sistem, termasuk produk daripada 360 dan Tencent
  • Pemantauan masa nyata tingkah laku pengguna, dikategorikan merentasi aktiviti seperti pemesejan, panggilan suara dan video, membeli-belah, penggunaan berita, carian peta, penstriman, permainan, temu janji, perkongsian perjalanan dan penggunaan e-mel

Implikasi untuk Keselamatan Pinggir Rangkaian

Penghala dan peranti pinggir terus mewakili sasaran bernilai tinggi dalam kempen pencerobohan yang disasarkan dan lanjutan. Memandangkan pelaku ancaman semakin menumpukan pada lapisan infrastruktur ini, keterlihatan terhadap alatan dan teknik yang mereka gunakan menjadi penting. Pendedahan rangka kerja DKnife menggariskan kematangan ancaman AitM moden, yang menggabungkan pemeriksaan paket mendalam, manipulasi trafik dan penghantaran perisian hasad yang disesuaikan untuk menjejaskan pelbagai jenis peranti pada skala yang besar.

Trending

Paling banyak dilihat

Memuatkan...