DKnife AitM फ्रेमवर्क

साइबर सुरक्षा अनुसन्धानकर्ताहरूले DKnife भनेर चिनिने परिष्कृत गेटवे-मोनिटरिङ र एड्भोर्डर-इन-द-मिडल (AitM) फ्रेमवर्कको खुलासा गरेका छन्, जुन चीन-नेक्सस खतरा अभिनेताहरूलाई श्रेय दिइएको छ र कम्तिमा २०१९ देखि सक्रिय छ। यो फ्रेमवर्क नेटवर्क एजमा सञ्चालन गर्न उद्देश्य-निर्मित छ, जसले गर्दा सम्झौता गरिएका राउटरहरू र एज उपकरणहरू मार्फत गोप्य ट्राफिक निरीक्षण, हेरफेर र मालवेयर डेलिभरी सक्षम हुन्छ।

चिनियाँ भाषी प्रयोगकर्ताहरूको रणनीतिक लक्षितीकरण

DKnife ले मुख्यतया चिनियाँ भाषी प्रयोगकर्ताहरूलाई लक्षित गरेको देखिन्छ। यो मूल्याङ्कन धेरै सूचकहरूद्वारा समर्थित छ, जसमा चिनियाँ इमेल प्रदायकहरूका लागि तयार पारिएका फिसिङ पृष्ठहरू, WeChat जस्ता व्यापक रूपमा प्रयोग हुने चिनियाँ मोबाइल अनुप्रयोगहरूमा केन्द्रित डेटा एक्सफिल्टरेशन मोड्युलहरू, र स्रोत कोड भित्र चिनियाँ मिडिया डोमेनहरूमा हार्ड-कोड गरिएका सन्दर्भहरू समावेश छन्। यद्यपि, अनुसन्धानकर्ताहरूले सावधानी अपनाउँछन् कि यो निष्कर्ष एकल कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट प्राप्त कन्फिगरेसन फाइलहरूमा आधारित छ, जसले अन्य क्षेत्रहरूमा अनुकूलित समानान्तर पूर्वाधारहरूको सम्भावनालाई खुला छोड्छ।

फराकिलो चीन-पङ्क्तिबद्ध खतरा गतिविधिसँगको सम्बन्ध

अर्थ मिनोटौरको रूपमा ट्र्याक गरिएको फराकिलो चिनियाँ खतरा समूहको अनुसन्धानको क्रममा यो रूपरेखा पर्दाफास भएको थियो, जुन MOONSHINE एक्सप्लोइट किट र डार्कनिम्बस (डार्कनाइट्स पनि भनिन्छ) ब्याकडोरसँग सम्बन्धित छ। उल्लेखनीय कुरा के छ भने, डार्कनिम्बसलाई द विजार्ड्स भनेर चिनिने अर्को चीन-पङ्क्तिबद्ध उन्नत निरन्तर खतरा समूहद्वारा पनि तैनाथ गरिएको छ।

पूर्वाधार विश्लेषणले DKnife र WizardNet बीचको ओभरल्याप पत्ता लगायो, TheWizards द्वारा प्रयोग गरिएको र Spellbinder भनिने AitM फ्रेमवर्क मार्फत डेलिभर गरिएको, जुन अप्रिल २०२५ मा सार्वजनिक रूपमा दस्तावेज गरिएको थियो। TheWizards ले कम्बोडिया, हङकङ, मुख्य भूमि चीन, फिलिपिन्स र संयुक्त अरब इमिरेट्समा व्यक्तिहरू र जुवा-सम्बन्धित संस्थाहरूलाई लक्षित गरेको ज्ञात कारणले गर्दा यी जडानहरू महत्त्वपूर्ण छन्।

लिनक्स-केन्द्रित, मोड्युलर वास्तुकला

WizardNet भन्दा फरक, DKnife विशेष गरी Linux-आधारित वातावरणको लागि ईन्जिनियर गरिएको छ, जसले गर्दा यो राउटर र एज उपकरणहरूमा तैनातीका लागि उपयुक्त छ। फ्रेमवर्क ELF डाउनलोडर मार्फत डेलिभर गरिएको छ र मोड्युलर डिजाइन प्रयोग गर्दछ जसले अपरेटरहरूलाई प्याकेट फर्वार्डिङदेखि पूर्ण ट्राफिक अवरोध र हेरफेरसम्मका क्षमताहरू छनौट रूपमा सक्षम गर्न अनुमति दिन्छ।

DKnife फ्रेमवर्क कम्पोनेन्टहरू

• dknife.bin – गहिरो प्याकेट निरीक्षण, प्रयोगकर्ता गतिविधि अनुगमन, DNS अपहरण, र बाइनरी डाउनलोड अपहरणको लागि जिम्मेवार कोर मोड्युल।
• postapi.bin - एक रिपोर्टिङ रिले जसले DKnife बाट संकलन गरिएको डेटा प्राप्त गर्दछ र यसलाई टाढाको C2 सर्भरहरूमा फर्वार्ड गर्दछ।
• sslmm.bin - TLS टर्मिनेशन, इमेल डिक्रिप्शन, र URL रिडिरेक्सनको लागि प्रयोग गरिने परिमार्जित HAProxy रिभर्स प्रोक्सी।

इनलाइन डिक्रिप्शन मार्फत प्रमाणपत्र संकलन

DKnife ले विशेष गरी प्रमुख चिनियाँ इमेल प्रदायकलाई लक्षित गर्दै, प्रमाण चोरीको लागि समर्पित कार्यक्षमता समावेश गर्दछ। sslmm.bin मोड्युलले ग्राहकहरूलाई आक्रमणकारी-नियन्त्रित TLS प्रमाणपत्रहरू प्रस्तुत गर्दछ, POP3 र IMAP जडानहरू समाप्त गर्दछ र डिक्रिप्ट गर्दछ, र प्रयोगकर्ता नाम र पासवर्डहरू निकाल्न परिणामस्वरूप प्लेनटेक्स्ट ट्राफिकको निरीक्षण गर्दछ। काटिएका प्रमाणहरू तदनुसार लेबल गरिन्छ, postapi.bin मा पास गरिन्छ, र सङ्कलन र विश्लेषणको लागि टाढाको C2 सर्भरहरूमा रिले गरिन्छ।

आक्रमण सक्षमकर्ताको रूपमा गहिरो प्याकेट निरीक्षण

फ्रेमवर्कको मुटुमा dknife.bin रहेको छ, जसले व्यापक गहिरो प्याकेट निरीक्षण र वास्तविक-समय ट्राफिक विश्लेषण सक्षम बनाउँछ। यो क्षमताले अपरेटरहरूलाई निष्क्रिय निगरानी र सक्रिय इन-लाइन आक्रमणहरू बीच निर्बाध रूपमा संक्रमण गर्न अनुमति दिन्छ, जसमा वैध सफ्टवेयर डाउनलोडहरूलाई दुर्भावनापूर्ण पेलोडहरूसँग प्रतिस्थापन गर्ने समावेश छ।

प्रमुख सञ्चालन क्षमताहरू

• डार्कनिम्बस मालवेयरको एन्ड्रोइड र विन्डोज भेरियन्टहरूमा अद्यावधिक गरिएको C2 कन्फिगरेसनको वितरण
• JD.com-सम्बन्धित डोमेनहरूसँग सम्बन्धित ट्राफिकलाई रिडिरेक्ट गर्न IPv4 र IPv6 दुवैमा DNS-आधारित अपहरण
• चिनियाँ समाचार, स्ट्रिमिङ मिडिया, छवि सम्पादन, ई-वाणिज्य, राइड-हेलिङ, गेमिङ, र वयस्क भिडियो प्लेटफर्महरूको लागि एन्ड्रोइड अनुप्रयोग अपडेटहरूको अवरोध र प्रतिस्थापन।
• DLL साइड-लोडिङ मार्फत ShadowPad ब्याकडोर डेलिभर गर्न विन्डोज र अन्य बाइनरी डाउनलोडहरूको अपहरण, त्यसपछि DarkNimbus लोड गर्दै।
• ३६० र Tencent का उत्पादनहरू सहित एन्टिभाइरस र प्रणाली-व्यवस्थापन सफ्टवेयरबाट सञ्चारमा अवरोध
• सन्देश, भ्वाइस र भिडियो कल, किनमेल, समाचार उपभोग, नक्सा खोजी, स्ट्रिमिङ, गेमिङ, डेटिङ, राइड-सेयरिङ, र इमेल प्रयोग जस्ता गतिविधिहरूमा वर्गीकृत प्रयोगकर्ता व्यवहारको वास्तविक-समय अनुगमन।

नेटवर्क एज सुरक्षाको लागि प्रभावहरू

राउटर र एज उपकरणहरूले उन्नत, लक्षित घुसपैठ अभियानहरूमा उच्च-मूल्य लक्ष्यहरूको प्रतिनिधित्व गर्न जारी राख्छन्। खतरा अभिनेताहरूले पूर्वाधारको यस तहमा बढ्दो रूपमा ध्यान केन्द्रित गर्दै जाँदा, तिनीहरूले प्रयोग गर्ने उपकरणहरू र प्रविधिहरूमा दृश्यता आवश्यक हुन्छ। DKnife फ्रेमवर्कको एक्सपोजरले आधुनिक AitM खतराहरूको परिपक्वतालाई रेखांकित गर्दछ, जसले गहिरो प्याकेट निरीक्षण, ट्राफिक हेरफेर, र अनुकूलित मालवेयर डेलिभरीलाई संयोजन गर्दछ जसले स्केलमा उपकरण प्रकारहरूको विस्तृत श्रृंखलालाई सम्झौता गर्दछ।