DKnife AitM Framework
Исследователи в области кибербезопасности выявили сложную систему мониторинга шлюзов и атаки типа «злоумышленник посередине» (AitM), известную как DKnife, которая, по их мнению, разработана китайскими киберпреступниками и действует как минимум с 2019 года. Эта система специально создана для работы на периферии сети, позволяя осуществлять скрытый анализ трафика, его манипулирование и доставку вредоносного ПО через скомпрометированные маршрутизаторы и периферийные устройства.
Оглавление
Стратегический таргетинг на китайскоязычных пользователей
По всей видимости, DKnife в первую очередь нацелен на китайскоязычных пользователей. Это подтверждается множеством признаков, включая фишинговые страницы, адаптированные для китайских почтовых сервисов, модули утечки данных, ориентированные на широко используемые китайские мобильные приложения, такие как WeChat, и жестко закодированные ссылки на китайские медиа-домены в исходном коде. Однако исследователи предупреждают, что этот вывод основан на конфигурационных файлах, полученных с одного сервера управления и контроля (C2), что оставляет открытой возможность существования параллельных инфраструктур, адаптированных для других регионов.
Связи с более широкой деятельностью, направленной против Китая и представляющей угрозу.
Данная схема была обнаружена в ходе расследования более масштабного китайского кластера угроз, отслеживаемого под названием Earth Minotaur, который связан с эксплойт-комплектом MOONSHINE и бэкдором DarkNimbus (также известным как DarkNights). Примечательно, что DarkNimbus также использовался другой продвинутой группой злоумышленников, связанной с Китаем, известной как TheWizards.
Анализ инфраструктуры выявил совпадения между DKnife и WizardNet, имплантом для Windows, используемым TheWizards и распространяемым через фреймворк AitM под названием Spellbinder, информация о котором была опубликована в апреле 2025 года. Эти связи имеют важное значение, учитывая известное нацеливание TheWizards на отдельных лиц и организации, связанные с азартными играми, в Камбодже, Гонконге, материковом Китае, на Филиппинах и в Объединенных Арабских Эмиратах.
Модульная архитектура, ориентированная на Linux.
В отличие от WizardNet, DKnife разработан специально для сред на базе Linux, что делает его хорошо подходящим для развертывания на маршрутизаторах и периферийных устройствах. Фреймворк распространяется через загрузчик ELF и имеет модульную структуру, позволяющую операторам выборочно включать различные возможности, от пересылки пакетов до полного перехвата и манипулирования трафиком.
Компоненты фреймворка DKnife
- dknife.bin – основной модуль, отвечающий за глубокий анализ пакетов, мониторинг активности пользователей, перехват DNS и перехват загрузки бинарных файлов.
- postapi.bin – Ретранслятор отчетов, который получает собранные данные от DKnife и пересылает их на удаленные C2-серверы.
- sslmm.bin – модифицированный обратный прокси-сервер HAProxy, используемый для завершения TLS-соединения, расшифровки электронной почты и перенаправления URL-адресов.
Извлечение учетных данных посредством встроенного дешифрования
DKnife включает в себя специализированный функционал для кражи учетных данных, в частности, для атаки на крупного китайского почтового провайдера. Модуль sslmm.bin предоставляет клиентам контролируемые злоумышленником TLS-сертификаты, завершает и расшифровывает POP3 и IMAP-соединения, а также анализирует полученный трафик в открытом виде для извлечения имен пользователей и паролей. Собранные учетные данные соответствующим образом маркируются, передаются в postapi.bin и пересылаются на удаленные C2-серверы для сбора и анализа.
Глубокий анализ пакетов как средство, способствующее атакам.
В основе фреймворка лежит dknife.bin, который обеспечивает углубленный анализ пакетов и анализ трафика в реальном времени. Эта возможность позволяет операторам плавно переключаться между пассивным мониторингом и активными атаками, включая замену легитимных загрузок программного обеспечения вредоносными программами.
Ключевые оперативные возможности
- Распространение обновленных конфигураций C2 для версий вредоносного ПО DarkNimbus под управлением Android и Windows.
- Перехват трафика на основе DNS через IPv4 и IPv6 для перенаправления трафика, связанного с доменами, относящимися к JD.com.
- Перехват и замена обновлений приложений Android для китайских новостных платформ, потокового мультимедиа, редактирования изображений, электронной коммерции, служб такси, игр и видео для взрослых.
- Перехват загрузки бинарных файлов Windows и других операционных систем для доставки бэкдора ShadowPad посредством загрузки DLL-файлов, после чего загружается DarkNimbus.
- Нарушение связи со стороны антивирусного программного обеспечения и программного обеспечения для управления системой, включая продукты от 360 и Tencent.
- Мониторинг поведения пользователей в режиме реального времени с разбивкой по таким видам деятельности, как обмен сообщениями, голосовые и видеозвонки, покупки, чтение новостей, поиск на картах, потоковое вещание, игры, знакомства, совместные поездки и использование электронной почты.
Последствия для безопасности на границе сети
Маршрутизаторы и периферийные устройства по-прежнему представляют собой высокоприоритетные цели в сложных, целенаправленных кампаниях вторжения. Поскольку злоумышленники все чаще сосредотачиваются на этом уровне инфраструктуры, становится крайне важным понимание используемых ими инструментов и методов. Раскрытие информации о фреймворке DKnife подчеркивает зрелость современных угроз AitM (атака на входе в систему), которые сочетают в себе глубокий анализ пакетов, манипулирование трафиком и целенаправленную доставку вредоносного ПО для компрометации широкого спектра типов устройств в масштабах всей системы.
