Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) DKnife AitM Framework

DKnife AitM Framework

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një strukturë të sofistikuar monitorimi të portës hyrëse dhe kundërshtarëve në mes (AitM) të njohur si DKnife, e cila i atribuohet aktorëve kërcënues të lidhjes me Kinën dhe është aktive që të paktën nga viti 2019. Struktura është ndërtuar posaçërisht për të vepruar në skajin e rrjetit, duke mundësuar inspektimin e fshehtë të trafikut, manipulimin dhe shpërndarjen e programeve keqdashëse përmes routerëve dhe pajisjeve të kompromentuara.

Targetimi Strategjik i Përdoruesve që Folën Kinezisht

DKnife duket se synon kryesisht përdoruesit që flasin kinezisht. Ky vlerësim mbështetet nga tregues të shumtë, duke përfshirë faqet e phishing-ut të përshtatura për ofruesit kinezë të email-it, modulet e nxjerrjes së të dhënave të fokusuara në aplikacionet kineze mobile të përdorura gjerësisht si WeChat, dhe referencat e koduara fort për domenet e mediave kineze brenda kodit burimor. Studiuesit paralajmërojnë, megjithatë, se ky përfundim bazohet në skedarët e konfigurimit të marrë nga një server i vetëm Komandë-dhe-Kontroll (C2), duke lënë të hapur mundësinë e infrastrukturave paralele të përshtatura për rajone të tjera.

Lidhje me aktivitetin më të gjerë kërcënues të lidhur me Kinën

Korniza u zbulua gjatë hetimit të një grumbulli më të gjerë kërcënimesh kineze të gjurmuar si Earth Minotaur, i cili është shoqëruar me kitin e shfrytëzimit MOONSHINE dhe derën e pasme DarkNimbus (i njohur edhe si DarkNights). Veçanërisht, DarkNimbus është vendosur gjithashtu nga një tjetër grup kërcënimesh të vazhdueshme të përparuara të lidhura me Kinën, i njohur si TheWizards.

Analiza e infrastrukturës zbuloi mbivendosje midis DKnife dhe WizardNet, një implant Windows i përdorur nga TheWizards dhe i ofruar nëpërmjet një kuadri AitM të quajtur Spellbinder, i dokumentuar publikisht në prill 2025. Këto lidhje janë të rëndësishme duke pasur parasysh shënjestrimin e njohur të individëve dhe subjekteve të lidhura me lojërat e fatit nga TheWizards në të gjithë Kamboxhian, Hong Kongun, Kinën kontinentale, Filipinet dhe Emiratet e Bashkuara Arabe.

Një Arkitekturë Modulare e Fokusuar në Linux

Ndryshe nga WizardNet, DKnife është projektuar posaçërisht për mjedise të bazuara në Linux, duke e bërë atë shumë të përshtatshëm për vendosje në routerë dhe pajisje edge. Korniza ofrohet nëpërmjet një shkarkuesi ELF dhe përdor një dizajn modular që u lejon operatorëve të aktivizojnë në mënyrë selektive aftësi që variojnë nga përcjellja e paketave deri te përgjimi dhe manipulimi i plotë i trafikut.

Komponentët e Kornizës DKnife

  • dknife.bin – Moduli kryesor përgjegjës për inspektimin e thellë të paketave, monitorimin e aktivitetit të përdoruesit, rrëmbimin e DNS dhe rrëmbimin e shkarkimeve binare.
  • postapi.bin – Një rele raportimi që merr të dhëna të mbledhura nga DKnife dhe i përcjell ato te serverët e largët C2
  • sslmm.bin – Një proxy i kundërt i modifikuar i HAProxy që përdoret për ndërprerjen e TLS, deshifrimin e email-eve dhe ridrejtimin e URL-ve.
  • mmdown.bin – Një përditësues që lidhet me një server C2 të koduar fort për të rikuperuar APK-të keqdashëse të Android-it.
  • yitiji.bin – Një përçues paketash që krijon një ndërfaqe TAP të lidhur në router për trafikun LAN të injektuar nga sulmuesi.
  • remote.bin – Një klient VPN peer-to-peer që krijon kanale komunikimi me infrastrukturën C2 të largët
  • dkupdate.bin – Një modul përditësimi dhe mbikëqyrësi që siguron qëndrueshmërinë dhe disponueshmërinë e të gjithë komponentëve.

Mbledhja e kredencialeve përmes dekriptimit në linjë

DKnife përfshin funksionalitet të dedikuar për vjedhjen e kredencialeve, veçanërisht duke synuar një ofrues të madh kinez të email-it. Moduli sslmm.bin u paraqet klientëve certifikata TLS të kontrolluara nga sulmuesi, ndërpret dhe dekripton lidhjet POP3 dhe IMAP, dhe inspekton trafikun e tekstit të thjeshtë që rezulton për të nxjerrë emrat e përdoruesit dhe fjalëkalimet. Kredencialet e mbledhura etiketohen në përputhje me rrethanat, kalohen te postapi.bin dhe transmetohen te serverët e largët C2 për mbledhje dhe analizë.

Inspektimi i Thellë i Paketave si një Mundësues Sulmi

Në zemër të strukturës qëndron dknife.bin, i cili mundëson inspektim të thellë të paketave dhe analizë të trafikut në kohë reale. Kjo aftësi u lejon operatorëve të kalojnë pa probleme midis monitorimit pasiv dhe sulmeve aktive në linjë, duke përfshirë zëvendësimin e shkarkimeve të ligjshme të softuerëve me ngarkesa dashakeqe.

Aftësitë Kryesore Operacionale

  • Shpërndarja e konfigurimeve të përditësuara C2 në variantet Android dhe Windows të malware-it DarkNimbus
  • Rrëmbimi i bazuar në DNS mbi IPv4 dhe IPv6 për të ridrejtuar trafikun e lidhur me domenet e lidhura me JD.com
  • Ndërhyrja dhe zëvendësimi i përditësimeve të aplikacioneve Android për lajmet kineze, mediat transmetuese, redaktimin e imazheve, tregtinë elektronike, shërbimet e transportit me shërbim të shpejtë, lojërat dhe platformat e videove për të rritur.
  • Rrëmbimi i Windows dhe shkarkimeve të tjera binare për të ofruar derën e pasme ShadowPad nëpërmjet ngarkimit anësor të DLL, duke ngarkuar më pas DarkNimbus.
  • Ndërprerje e komunikimeve nga programet antivirus dhe të menaxhimit të sistemit, duke përfshirë produktet nga 360 dhe Tencent
  • Monitorim në kohë reale i sjelljes së përdoruesit, i kategorizuar në aktivitete të tilla si mesazhet, thirrjet zanore dhe video, blerjet, konsumi i lajmeve, kërkimet në hartë, transmetimi, lojërat, takimet, ndarja e udhëtimit dhe përdorimi i email-it.

Implikimet për Sigurinë në Edge të Rrjetit

Routerat dhe pajisjet kufitare vazhdojnë të përfaqësojnë objektiva me vlerë të lartë në fushatat e avancuara dhe të synuara të ndërhyrjes. Ndërsa aktorët kërcënues përqendrohen gjithnjë e më shumë në këtë shtresë të infrastrukturës, dukshmëria në mjetet dhe teknikat që ata përdorin bëhet thelbësore. Ekspozimi i kornizës DKnife nënvizon pjekurinë e kërcënimeve moderne AitM, të cilat kombinojnë inspektimin e thellë të paketave, manipulimin e trafikut dhe shpërndarjen e programeve keqdashëse të përshtatura për të kompromentuar një gamë të gjerë të llojeve të pajisjeve në shkallë të gjerë.

Në trend

AISURU/Kimwolf Botnet

Botnets, Kërcënimi i avancuar i vazhdueshëm (APT)
Botneti i shpërndarë i mohimit të shërbimit (DDoS) i gjurmuar si AISURU/Kimwolf është lidhur me një sulm të paprecedentë që arriti kulmin në 31.4 terabit për sekondë (Tbps). Pavarësisht intensitetit të tij ekstrem, sulmi ishte i shkurtër, duke zgjatur vetëm 35 sekonda. Incidenti ndodhi në nëntor 2025 dhe tani konsiderohet sulmi më i madh DDoS i vëzhguar ndonjëherë. Rritja e sulmeve...

Më e shikuara

Po ngarkohet...