Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) DKnife AitM-rammeverk

DKnife AitM-rammeverk

Med Mezo i Advanced Persistent Threat (APT), Skadelig programvare
Oversett til:

Forskere innen nettsikkerhet har avslørt et sofistikert rammeverk for gateway-monitorering og «adversary-in-the-middle» (AitM), kjent som DKnife, tilskrevet trusselaktører med tilknytning til Kina og aktivt siden minst 2019. Rammeverket er spesialbygd for å operere i nettverkskanten, og muliggjør skjult trafikkinspeksjon, manipulering og levering av skadelig programvare gjennom kompromitterte rutere og kantenheter.

Strategisk målretting av kinesisktalende brukere

DKnife ser ut til å primært rette seg mot kinesisktalende brukere. Denne vurderingen støttes av flere indikatorer, inkludert phishing-sider skreddersydd for kinesiske e-postleverandører, datautfiltreringsmoduler fokusert på mye brukte kinesiske mobilapplikasjoner som WeChat, og hardkodede referanser til kinesiske mediedomener i kildekoden. Forskere advarer imidlertid om at denne konklusjonen er basert på konfigurasjonsfiler hentet fra en enkelt Command-and-Control (C2)-server, noe som åpner for muligheten for parallelle infrastrukturer skreddersydd for andre regioner.

Bånd til bredere trusselaktivitet alliert med Kina

Rammeverket ble avdekket under etterforskningen av en bredere kinesisk trusselklynge sporet som Earth Minotaur, som har blitt assosiert med MOONSHINE-utnyttelsessettet og bakdøren DarkNimbus (også kjent som DarkNights). Det er verdt å merke seg at DarkNimbus også har blitt distribuert av en annen avansert, vedvarende trusselgruppe tilknyttet Kina, kjent som TheWizards.

Infrastrukturanalyse avdekket overlappinger mellom DKnife og WizardNet, et Windows-implantat brukt av TheWizards og levert via et AitM-rammeverk kalt Spellbinder, dokumentert offentlig i april 2025. Disse forbindelsene er betydelige gitt TheWizards' kjente målretting av enkeltpersoner og gamblingrelaterte enheter i Kambodsja, Hongkong, Fastlands-Kina, Filippinene og De forente arabiske emirater.

En Linux-fokusert, modulær arkitektur

I motsetning til WizardNet er DKnife spesielt utviklet for Linux-baserte miljøer, noe som gjør det godt egnet for distribusjon på rutere og kantenheter. Rammeverket leveres via en ELF-nedlaster og bruker en modulær design som lar operatører selektivt aktivere funksjoner som spenner fra pakkevideresending til full trafikkavlytting og manipulering.

DKnife Framework-komponenter

  • dknife.bin – Kjernemodulen som er ansvarlig for dyp pakkeinspeksjon, overvåking av brukeraktivitet, DNS-kapring og kapring av binær nedlasting
  • postapi.bin – Et rapporteringsrelé som mottar innsamlede data fra DKnife og videresender dem til eksterne C2-servere.
  • sslmm.bin – En modifisert HAProxy omvendt proxy som brukes til TLS-avslutning, e-postdekryptering og URL-omdirigering
  • mmdown.bin – En oppdatering som kobler seg til en hardkodet C2-server for å hente skadelige Android APK-er
  • yitiji.bin – En pakkevideresending som oppretter et brokoblet TAP-grensesnitt på ruteren for angriperinjisert LAN-trafikk
  • remote.bin – En peer-to-peer VPN-klient som etablerer kommunikasjonskanaler med ekstern C2-infrastruktur
  • dkupdate.bin – En oppdaterings- og overvåkingsmodul som sikrer at alle komponenter er vedvarende og tilgjengelige

Innhenting av legitimasjon gjennom innebygd dekryptering

DKnife inkluderer dedikert funksjonalitet for tyveri av legitimasjon, spesielt rettet mot en stor kinesisk e-postleverandør. Sslmm.bin-modulen presenterer angriperkontrollerte TLS-sertifikater til klienter, avslutter og dekrypterer POP3- og IMAP-tilkoblinger, og inspiserer den resulterende klarteksttrafikken for å trekke ut brukernavn og passord. Innsamlede legitimasjonsdata merkes deretter, sendes til postapi.bin og videresendes til eksterne C2-servere for innsamling og analyse.

Dyp pakkeinspeksjon som en angrepsaktiverer

Kjernen i rammeverket ligger dknife.bin, som muliggjør omfattende dyp pakkeinspeksjon og trafikkanalyse i sanntid. Denne funksjonaliteten lar operatører gå sømløst mellom passiv overvåking og aktive innebygde angrep, inkludert erstatning av legitime programvarenedlastinger med skadelige nyttelaster.

Viktige operative evner

  • Distribusjon av oppdaterte C2-konfigurasjoner til Android- og Windows-varianter av DarkNimbus-skadevaren
  • DNS-basert kapring over både IPv4 og IPv6 for å omdirigere trafikk tilknyttet JD.com-relaterte domener
  • Avlytting og erstatning av Android-applikasjonsoppdateringer for kinesiske nyheter, strømmemedier, bilderedigering, e-handel, samkjøring, spilling og videoplattformer for voksne
  • Kapring av Windows og andre binære nedlastinger for å levere ShadowPad-bakdøren via DLL-sidelasting, og deretter lasting av DarkNimbus
  • Kommunikasjonsforstyrrelser fra antivirus- og systemadministrasjonsprogramvare, inkludert produkter fra 360 og Tencent
  • Sanntidsovervåking av brukeratferd, kategorisert på tvers av aktiviteter som meldinger, tale- og videosamtaler, shopping, nyhetsforbruk, kartsøk, strømming, spilling, dating, samkjøring og e-postbruk

Implikasjoner for nettverkskantsikkerhet

Rutere og kantenheter fortsetter å representere verdifulle mål i avanserte, målrettede inntrengingskampanjer. Etter hvert som trusselaktører i økende grad fokuserer på dette infrastrukturlaget, blir innsyn i verktøyene og teknikkene de bruker avgjørende. Eksponeringen av DKnife-rammeverket understreker modenheten til moderne AitM-trusler, som kombinerer dyp pakkeinspeksjon, trafikkmanipulering og skreddersydd levering av skadelig programvare for å kompromittere et bredt spekter av enhetstyper i stor skala.

Trender

Mest sett

Laster inn...