Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) Okvir DKnife AitM

Okvir DKnife AitM

Do leta Mezo leta Napredna trajna grožnja (APT), Zlonamerna programska oprema
Prevedi v:

Raziskovalci kibernetske varnosti so razkrili sofisticiran okvir za spremljanje prehodov in delovanje nasprotnika v sredini (AitM), znan kot DKnife, ki ga pripisujejo akterjem grožnje na Kitajskem in je aktiven vsaj od leta 2019. Okvir je namensko zasnovan za delovanje na robu omrežja, kar omogoča prikrit pregled prometa, manipulacijo in dostavo zlonamerne programske opreme prek ogroženih usmerjevalnikov in robnih naprav.

Strateško ciljanje kitajsko govorečih uporabnikov

Zdi se, da DKnife cilja predvsem na kitajsko govoreče uporabnike. To oceno podpira več kazalnikov, vključno s stranmi za lažno predstavljanje, prilagojenimi kitajskim ponudnikom e-pošte, moduli za izsiljevanje podatkov, osredotočenimi na široko uporabljene kitajske mobilne aplikacije, kot je WeChat, in v izvorni kodi vgrajenimi sklici na kitajske medijske domene. Raziskovalci pa opozarjajo, da ta sklep temelji na konfiguracijskih datotekah, pridobljenih z enega samega strežnika za upravljanje in nadzor (C2), kar pušča odprto možnost vzporednih infrastruktur, prilagojenih drugim regijam.

Povezave s širšo dejavnostjo groženj, povezano s Kitajsko

Okvir je bil odkrit med preiskavo širšega kitajskega grozečega grozečega grozečega grozečega grozečega grozečega sistema Earth Minotaur, ki je bil povezan z izkoriščanjem MOONSHINE in zadnjimi vrati DarkNimbus (znanim tudi kot DarkNights). Omeniti velja, da je DarkNimbus uporabila tudi druga kitajsko usmerjena napredna skupina za vztrajne grožnje, znana kot TheWizards.

Analiza infrastrukture je razkrila prekrivanja med DKnife in WizardNet, vsadkom za Windows, ki ga uporablja TheWizards in se dostavlja prek ogrodja AitM, imenovanega Spellbinder, kar je bilo javno dokumentirano aprila 2025. Te povezave so pomembne glede na znano ciljanje TheWizards na posameznike in subjekte, povezane z igrami na srečo, v Kambodži, Hongkongu, celinski Kitajski, na Filipinih in v Združenih arabskih emiratih.

Modularna arhitektura, osredotočena na Linux

Za razliko od WizardNeta je DKnife zasnovan posebej za okolja, ki temeljijo na Linuxu, zaradi česar je zelo primeren za namestitev na usmerjevalnike in robne naprave. Okvir se dostavlja prek programa za prenos ELF in uporablja modularno zasnovo, ki operaterjem omogoča selektivno omogočanje zmogljivosti, od posredovanja paketov do popolnega prestrezanja in manipulacije prometa.

Komponente ogrodja DKnife

  • dknife.bin – osrednji modul, odgovoren za poglobljen pregled paketov, spremljanje aktivnosti uporabnikov, ugrabitev DNS-a in ugrabitev binarnih prenosov
  • postapi.bin – Poročevalski rele, ki prejema zbrane podatke iz DKnife in jih posreduje oddaljenim strežnikom C2
  • sslmm.bin – Spremenjen obratni proxy HAProxy, ki se uporablja za prekinitev TLS, dešifriranje e-pošte in preusmeritev URL-jev.
  • mmdown.bin – Posodobitveni program, ki se poveže s trdo kodiranim strežnikom C2 za pridobivanje zlonamernih Android APK-jev
  • yitiji.bin – Posrednik paketov, ki na usmerjevalniku ustvari premostitveni vmesnik TAP za promet LAN, ki ga vbrizga napadalec.
  • remote.bin – odjemalec VPN med uporabniki, ki vzpostavlja komunikacijske kanale z oddaljeno infrastrukturo C2
  • dkupdate.bin – modul za posodabljanje in nadzor, ki zagotavlja obstojnost in razpoložljivost vseh komponent

Pridobivanje poverilnic z vgrajenim dešifriranjem

DKnife vključuje namensko funkcionalnost za krajo poverilnic, zlasti tiste, ki ciljajo na večjega kitajskega ponudnika e-pošte. Modul sslmm.bin strankam predstavi TLS potrdila, ki jih nadzoruje napadalec, prekine in dešifrira povezave POP3 in IMAP ter pregleda nastali promet v obliki golega besedila, da izlušči uporabniška imena in gesla. Pridobljene poverilnice so ustrezno označene, posredovane v postapi.bin in posredovane oddaljenim strežnikom C2 za zbiranje in analizo.

Globoka analiza paketov kot omogočevalec napada

V središču ogrodja je datoteka dknife.bin, ki omogoča obsežen poglobljen pregled paketov in analizo prometa v realnem času. Ta zmogljivost operaterjem omogoča nemoten prehod med pasivnim spremljanjem in aktivnimi napadi v spletu, vključno z zamenjavo legitimnih prenosov programske opreme z zlonamernimi koristnimi tovori.

Ključne operativne zmogljivosti

  • Distribucija posodobljenih konfiguracij C2 za različice zlonamerne programske opreme DarkNimbus za Android in Windows
  • Ugrabitev na podlagi DNS prek IPv4 in IPv6 za preusmeritev prometa, povezanega z domenami, povezanimi z JD.com
  • Prestrezanje in zamenjava posodobitev aplikacij za Android za kitajske novice, pretakanje medijev, urejanje slik, e-trgovino, prevoze, igre in platforme za videoposnetke za odrasle
  • Ugrabitev sistema Windows in drugih binarnih prenosov za prenos zadnjih vrat ShadowPad prek stranskega nalaganja DLL, ki nato naloži DarkNimbus.
  • Motnje v komunikaciji zaradi protivirusne programske opreme in programske opreme za upravljanje sistema, vključno z izdelki podjetij 360 in Tencent
  • Spremljanje vedenja uporabnikov v realnem času, razvrščeno po dejavnostih, kot so sporočanje, glasovni in video klici, nakupovanje, branje novic, iskanje zemljevidov, pretakanje, igranje iger, zmenki, souporaba prevozov in uporaba e-pošte

Posledice za varnost omrežnega roba

Usmerjevalniki in robne naprave še naprej predstavljajo dragocene tarče v naprednih, ciljno usmerjenih kampanjah vdorov. Ker se akterji groženj vse bolj osredotočajo na to plast infrastrukture, postaja preglednost orodij in tehnik, ki jih uporabljajo, bistvenega pomena. Razkritje ogrodja DKnife poudarja zrelost sodobnih groženj AitM, ki združujejo poglobljen pregled paketov, manipulacijo prometa in prilagojeno dostavo zlonamerne programske opreme za ogrožanje širokega nabora vrst naprav v velikem obsegu.

V trendu

Najbolj gledan

Nalaganje...