Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Struktura DKnife AitM

Struktura DKnife AitM

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Złośliwe oprogramowanie
Przetłumacz na:

Badacze zajmujący się cyberbezpieczeństwem ujawnili zaawansowaną infrastrukturę do monitorowania bram sieciowych i ataków typu adwersarz-pośrednik (AitM) znaną jako DKnife, przypisywaną podmiotom zajmującym się zagrożeniami z China-nexus i działającą co najmniej od 2019 roku. Infrastruktura ta została stworzona specjalnie do działania na brzegu sieci, umożliwiając ukrytą inspekcję ruchu, manipulację i dostarczanie złośliwego oprogramowania za pośrednictwem zainfekowanych routerów i urządzeń brzegowych.

Strategiczne kierowanie do użytkowników chińskojęzycznych

DKnife wydaje się być skierowany głównie do użytkowników chińskojęzycznych. Ocenę tę potwierdzają liczne wskaźniki, takie jak strony phishingowe dostosowane do chińskich dostawców poczty e-mail, moduły eksfiltracji danych skoncentrowane na powszechnie używanych chińskich aplikacjach mobilnych, takich jak WeChat, oraz zakodowane na stałe odniesienia do chińskich domen medialnych w kodzie źródłowym. Badacze ostrzegają jednak, że wniosek ten opiera się na plikach konfiguracyjnych pobranych z pojedynczego serwera Command-and-Control (C2), co pozostawia otwartą możliwość istnienia równoległych infrastruktur dostosowanych do innych regionów.

Powiązania z szerszą działalnością stanowiącą zagrożenie powiązaną z Chinami

Struktura ta została odkryta podczas śledztwa w sprawie szerszego chińskiego klastra zagrożeń o nazwie Earth Minotaur, który był powiązany z zestawem exploitów MOONSHINE i backdoorem DarkNimbus (znanym również jako DarkNights). Co ciekawe, DarkNimbus został również wdrożony przez inną powiązaną z Chinami grupę zaawansowanych, uporczywych zagrożeń, znaną jako TheWizards.

Analiza infrastruktury ujawniła nakładanie się działań DKnife i WizardNet, implantu Windows używanego przez TheWizards i dostarczanego za pośrednictwem frameworka AitM o nazwie Spellbinder, udokumentowanego publicznie w kwietniu 2025 r. Powiązania te są istotne, biorąc pod uwagę znane ataki TheWizards na osoby i podmioty związane z hazardem w Kambodży, Hongkongu, Chinach kontynentalnych, na Filipinach i w Zjednoczonych Emiratach Arabskich.

Architektura modułowa skoncentrowana na systemie Linux

W przeciwieństwie do WizardNet, DKnife został zaprojektowany specjalnie dla środowisk opartych na systemie Linux, dzięki czemu doskonale nadaje się do wdrożenia na routerach i urządzeniach brzegowych. Framework jest dostarczany za pośrednictwem modułu pobierania ELF i wykorzystuje modułową konstrukcję, która pozwala operatorom selektywnie włączać funkcje, od przekazywania pakietów po pełne przechwytywanie i manipulację ruchem.

Komponenty frameworka DKnife

  • dknife.bin – główny moduł odpowiedzialny za dogłębną inspekcję pakietów, monitorowanie aktywności użytkowników, przechwytywanie DNS i przechwytywanie pobierania plików binarnych
  • postapi.bin – przekaźnik raportujący, który odbiera zebrane dane z DKnife i przekazuje je do zdalnych serwerów C2
  • sslmm.bin – zmodyfikowany odwrotny serwer proxy HAProxy używany do kończenia protokołu TLS, odszyfrowywania wiadomości e-mail i przekierowywania adresów URL
  • mmdown.bin – aktualizator łączący się z zakodowanym na stałe serwerem C2 w celu pobrania złośliwych plików APK dla systemu Android
  • yitiji.bin – Przekierowanie pakietów, które tworzy mostkowany interfejs TAP na routerze dla ruchu LAN wstrzykiwanego przez atakującego
  • remote.bin – klient VPN typu peer-to-peer, który ustanawia kanały komunikacji ze zdalną infrastrukturą C2
  • dkupdate.bin – moduł aktualizujący i nadzorujący, który zapewnia trwałość i dostępność wszystkich komponentów

Zbieranie poświadczeń poprzez odszyfrowywanie w trybie inline

DKnife zawiera dedykowaną funkcjonalność do kradzieży danych uwierzytelniających, szczególnie wymierzoną w dużego chińskiego dostawcę poczty e-mail. Moduł sslmm.bin prezentuje klientom kontrolowane przez atakującego certyfikaty TLS, przerywa i odszyfrowuje połączenia POP3 i IMAP oraz analizuje wygenerowany ruch w postaci zwykłego tekstu w celu wyodrębnienia nazw użytkowników i haseł. Zebrane dane uwierzytelniające są odpowiednio oznaczane, przekazywane do pliku postapi.bin i przekazywane do zdalnych serwerów C2 w celu ich zebrania i analizy.

Głęboka inspekcja pakietów jako narzędzie umożliwiające atak

Sercem platformy jest dknife.bin, który umożliwia szczegółową, głęboką inspekcję pakietów i analizę ruchu w czasie rzeczywistym. Ta funkcja pozwala operatorom płynnie przechodzić między pasywnym monitorowaniem a aktywnymi atakami in-line, w tym zastępowaniem legalnego oprogramowania złośliwymi ładunkami.

Kluczowe możliwości operacyjne

  • Dystrybucja zaktualizowanych konfiguracji C2 do wariantów złośliwego oprogramowania DarkNimbus dla systemów Android i Windows
  • Przejmowanie kontroli nad DNS w protokole IPv4 i IPv6 w celu przekierowania ruchu związanego z domenami powiązanymi z JD.com
  • Przechwytywanie i zastępowanie aktualizacji aplikacji Android dla chińskich serwisów informacyjnych, mediów strumieniowych, edycji obrazów, handlu elektronicznego, przewozów pasażerskich, gier i platform z filmami dla dorosłych
  • Przejęcie kontroli nad systemem Windows i innymi plikami binarnymi w celu dostarczenia backdoora ShadowPad poprzez boczne ładowanie biblioteki DLL, a następnie załadowanie DarkNimbus
  • Zakłócenie komunikacji spowodowane przez oprogramowanie antywirusowe i do zarządzania systemem, w tym produkty firm 360 i Tencent
  • Monitorowanie zachowań użytkowników w czasie rzeczywistym, podzielone na kategorie, takie jak wysyłanie wiadomości, rozmowy głosowe i wideo, zakupy, oglądanie wiadomości, wyszukiwanie na mapach, przesyłanie strumieniowe, gry, randki, współdzielenie przejazdów i korzystanie z poczty e-mail

Konsekwencje dla bezpieczeństwa krawędzi sieci

Routery i urządzenia brzegowe nadal stanowią ważne cele w zaawansowanych, ukierunkowanych kampaniach włamań. Ponieważ cyberprzestępcy coraz bardziej koncentrują się na tej warstwie infrastruktury, wgląd w stosowane przez nich narzędzia i techniki staje się niezbędny. Ujawnienie frameworka DKnife podkreśla dojrzałość współczesnych zagrożeń AitM, które łączą głęboką inspekcję pakietów, manipulację ruchem i dostosowane dostarczanie złośliwego oprogramowania, aby atakować szeroką gamę typów urządzeń na dużą skalę.

Popularne

Najczęściej oglądane

Ładowanie...