Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) DKnife AitM Framework

DKnife AitM Framework

Până în Mezo în Amenințare persistentă avansată (APT), Programe malware
Tradu in:

Cercetătorii în domeniul securității cibernetice au dezvăluit un cadru sofisticat de monitorizare a gateway-urilor și de tip „adversar-in-the-middle” (AitM), cunoscut sub numele de DKnife, atribuit actorilor de amenințare din rețeaua China-Nexus și activ cel puțin din 2019. Cadrul este special conceput pentru a funcționa la marginea rețelei, permițând inspecția ascunsă a traficului, manipularea și livrarea de programe malware prin routere și dispozitive edge compromise.

Direcționarea strategică a utilizatorilor vorbitori de limba chineză

Se pare că DKnife vizează în principal utilizatorii vorbitori de chineză. Această evaluare este susținută de mai mulți indicatori, inclusiv pagini de phishing adaptate furnizorilor de e-mail chinezi, module de exfiltrare a datelor axate pe aplicații mobile chinezești utilizate pe scară largă, cum ar fi WeChat, și referințe codificate hard-code la domenii media chinezești în codul sursă. Cercetătorii avertizează însă că această concluzie se bazează pe fișiere de configurare preluate de pe un singur server Command-and-Control (C2), lăsând deschisă posibilitatea unor infrastructuri paralele adaptate la alte regiuni.

Legături cu activități de amenințare mai ample, aliniate cu China

Framework-ul a fost descoperit în timpul investigației unui grup mai amplu de amenințări chineze, urmărit sub numele de Earth Minotaur, care a fost asociat cu kitul de exploatare MOONSHINE și backdoor-ul DarkNimbus (cunoscut și sub numele de DarkNights). În special, DarkNimbus a fost implementat și de un alt grup de amenințări persistente avansate, aliniat cu China, cunoscut sub numele de TheWizards.

Analiza infrastructurii a relevat suprapuneri între DKnife și WizardNet, un implant Windows utilizat de TheWizards și livrat prin intermediul unui framework AitM numit Spellbinder, documentat public în aprilie 2025. Aceste conexiuni sunt semnificative, având în vedere că TheWizards vizează persoane fizice și entități legate de jocurile de noroc din Cambodgia, Hong Kong, China continentală, Filipine și Emiratele Arabe Unite.

O arhitectură modulară, axată pe Linux

Spre deosebire de WizardNet, DKnife este conceput special pentru medii bazate pe Linux, fiind potrivit pentru implementarea pe routere și dispozitive edge. Framework-ul este livrat prin intermediul unui program de descărcare ELF și utilizează un design modular care permite operatorilor să activeze selectiv capabilități variind de la redirecționarea pachetelor până la interceptarea și manipularea completă a traficului.

Componentele cadrului DKnife

  • dknife.bin – Modulul principal responsabil pentru inspecția profundă a pachetelor, monitorizarea activității utilizatorilor, deturnarea DNS și deturnarea descărcărilor binare
  • postapi.bin – Un releu de raportare care primește date colectate de la DKnife și le transmite către servere C2 la distanță
  • sslmm.bin – Un proxy invers HAProxy modificat, utilizat pentru terminarea TLS, decriptarea e-mailurilor și redirecționarea URL-urilor
  • mmdown.bin – Un program de actualizare care se conectează la un server C2 hard-coded pentru a recupera fișiere APK Android rău intenționate
  • yitiji.bin – Un forwarder de pachete care creează o interfață TAP conectată pe router pentru traficul LAN injectat de atacatori
  • remote.bin – Un client VPN peer-to-peer care stabilește canale de comunicare cu infrastructura C2 la distanță
  • dkupdate.bin – Un modul de actualizare și watchdog care asigură persistența și disponibilitatea tuturor componentelor

    • Recoltarea acreditărilor prin decriptare inline

    DKnife include funcționalități dedicate pentru furtul de acreditări, vizând în special un important furnizor de e-mail chinez. Modulul sslmm.bin prezintă clienților certificate TLS controlate de atacatori, termină și decriptează conexiunile POP3 și IMAP și inspectează traficul text rezultat pentru a extrage nume de utilizator și parole. Acreditările colectate sunt etichetate corespunzător, transmise către postapi.bin și retransmise către servere C2 la distanță pentru colectare și analiză.

    Inspecția profundă a pachetelor ca factor de activare a atacurilor

    În centrul cadrului se află dknife.bin, care permite o inspecție profundă a pachetelor și o analiză a traficului în timp real. Această capacitate permite operatorilor să treacă fără probleme de la monitorizarea pasivă la atacurile active în linie, inclusiv înlocuirea descărcărilor de software legitime cu sarcini utile rău intenționate.

    Capacități operaționale cheie

    • Distribuirea configurațiilor C2 actualizate către variantele Android și Windows ale malware-ului DarkNimbus
    • Deturnare bazată pe DNS atât pe IPv4, cât și pe IPv6 pentru a redirecționa traficul asociat domeniilor legate de JD.com
    • Interceptarea și înlocuirea actualizărilor aplicațiilor Android pentru platforme chinezești de știri, streaming media, editare de imagini, comerț electronic, ride-hailing, jocuri și video pentru adulți
    • Deturnarea descărcărilor de fișiere binare Windows și alte fișiere pentru a livra backdoor-ul ShadowPad prin încărcare laterală DLL, încărcând ulterior DarkNimbus
    • Întreruperea comunicațiilor de la software-ul antivirus și de gestionare a sistemului, inclusiv produse de la 360 și Tencent
    • Monitorizare în timp real a comportamentului utilizatorilor, clasificată în funcție de activități precum mesagerie, apeluri vocale și video, cumpărături, consum de știri, căutări pe hărți, streaming, jocuri, întâlniri, partajare de călătorii și utilizare a e-mailului

    Implicații pentru securitatea la marginea rețelei

    Routerele și dispozitivele de la marginea sistemului continuă să reprezinte ținte de mare valoare în campaniile avansate de intruziune direcționate. Pe măsură ce actorii amenințători se concentrează din ce în ce mai mult pe acest nivel de infrastructură, vizibilitatea asupra instrumentelor și tehnicilor pe care le utilizează devine esențială. Expunerea cadrului DKnife subliniază maturitatea amenințărilor AitM moderne, care combină inspecția profundă a pachetelor, manipularea traficului și livrarea personalizată de programe malware pentru a compromite o gamă largă de tipuri de dispozitive la scară largă.

    Trending

    AISURU/Kimwolf Botnet

    Rețele bot, Amenințare persistentă avansată (APT)
    Botnetul de tip denial-of-service (DDoS) identificat ca AISURU/Kimwolf a fost asociat cu un atac fără precedent care a atins un vârf de 31,4 terabiți pe secundă (Tbps). În ciuda intensității sale extreme, atacul a fost scurt, durând doar 35 de secunde. Incidentul a avut loc în noiembrie 2025 și este acum cel mai mare atac DDoS observat vreodată. Creșterea atacurilor HTTP hipervolumetrice...

    Cele mai văzute

    Se încarcă...