Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) DKnife AitM-ramverk

DKnife AitM-ramverk

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:

Cybersäkerhetsforskare har avslöjat ett sofistikerat ramverk för gateway-övervakning och AitM (adversary-in-the-middle) som kallas DKnife, tillskrivet hotaktörer med koppling till Kina och aktivt sedan åtminstone 2019. Ramverket är specialbyggt för att fungera vid nätverkskanten, vilket möjliggör hemlig trafikinspektion, manipulation och leverans av skadlig kod via komprometterade routrar och edge-enheter.

Strategisk inriktning på kinesisktalande användare

DKnife verkar främst rikta sig till kinesisktalande användare. Denna bedömning stöds av flera indikatorer, inklusive nätfiskesidor skräddarsydda för kinesiska e-postleverantörer, dataexfiltreringsmoduler inriktade på allmänt använda kinesiska mobilapplikationer som WeChat, och hårdkodade referenser till kinesiska mediedomäner i källkoden. Forskarna varnar dock för att denna slutsats är baserad på konfigurationsfiler hämtade från en enda Command-and-Control (C2)-server, vilket lämnar öppet för parallella infrastrukturer skräddarsydda för andra regioner.

Kopplingar till bredare hotaktivitet allierad med Kina

Ramverket avslöjades under utredningen av ett bredare kinesiskt hotkluster som spåras som Earth Minotaur, vilket har kopplats till MOONSHINE-exploitkittet och bakdörren DarkNimbus (även känd som DarkNights). Det är värt att notera att DarkNimbus också har använts av en annan avancerad hotgrupp med allians med Kina, känd som TheWizards.

Infrastrukturanalys avslöjade överlappningar mellan DKnife och WizardNet, ett Windows-implantat som används av TheWizards och levereras via ett AitM-ramverk som kallas Spellbinder, vilket dokumenterades offentligt i april 2025. Dessa kopplingar är betydande med tanke på TheWizards kända inriktning på individer och spelrelaterade enheter i Kambodja, Hongkong, Kina, Filippinerna och Förenade Arabemiraten.

En Linux-fokuserad, modulär arkitektur

Till skillnad från WizardNet är DKnife konstruerat specifikt för Linux-baserade miljöer, vilket gör det väl lämpat för distribution på routrar och edge-enheter. Ramverket levereras via en ELF-nedladdare och använder en modulär design som gör det möjligt för operatörer att selektivt aktivera funktioner som sträcker sig från paketvidarebefordran till fullständig trafikavlyssning och manipulation.

DKnife Framework-komponenter

  • dknife.bin – Kärnmodulen som ansvarar för djup paketinspektion, övervakning av användaraktivitet, DNS-kapning och kapning av binär nedladdning
  • postapi.bin – Ett rapporteringsrelä som tar emot insamlad data från DKnife och vidarebefordrar den till fjärr-C2-servrar
  • sslmm.bin – En modifierad HAProxy-omvänd proxy som används för TLS-avslutning, e-postdekryptering och URL-omdirigering
  • mmdown.bin – En uppdaterare som ansluter till en hårdkodad C2-server för att hämta skadliga Android APK:er
  • yitiji.bin – En paketvidarebefordrare som skapar ett bryggat TAP-gränssnitt på routern för attackerande LAN-trafik
  • remote.bin – En peer-to-peer VPN-klient som etablerar kommunikationskanaler med fjärransluten C2-infrastruktur
  • dkupdate.bin – En uppdaterings- och övervakningsmodul som säkerställer beständighet och tillgänglighet för alla komponenter

Insamling av autentiseringsuppgifter genom inline-dekryptering

DKnife inkluderar dedikerad funktionalitet för stöld av autentiseringsuppgifter, särskilt riktad mot en stor kinesisk e-postleverantör. Modulen sslmm.bin presenterar angriparstyrda TLS-certifikat till klienter, avslutar och dekrypterar POP3- och IMAP-anslutningar och inspekterar den resulterande klartexttrafiken för att extrahera användarnamn och lösenord. Insamlade autentiseringsuppgifter märks därefter, skickas till postapi.bin och vidarebefordras till fjärr-C2-servrar för insamling och analys.

Djup paketinspektion som en attackmöjliggörare

Kärnan i ramverket ligger dknife.bin, vilket möjliggör omfattande djup paketinspektion och trafikanalys i realtid. Denna funktion gör det möjligt för operatörer att växla sömlöst mellan passiv övervakning och aktiva inline-attacker, inklusive att ersätta legitima programnedladdningar med skadliga nyttolaster.

Viktiga operativa förmågor

  • Distribution av uppdaterade C2-konfigurationer till Android- och Windows-varianter av den skadliga programvaran DarkNimbus
  • DNS-baserad kapning över både IPv4 och IPv6 för att omdirigera trafik kopplad till JD.com-relaterade domäner
  • Avlyssning och ersättning av Android-applikationsuppdateringar för kinesiska nyheter, streamingmedia, bildredigering, e-handel, samåkning, spel och vuxenvideoplattformar
  • Kapning av Windows och andra binära nedladdningar för att leverera ShadowPad-bakdörren via DLL-sidladdning, och därefter ladda DarkNimbus
  • Kommunikationsavbrott från antivirus- och systemhanteringsprogram, inklusive produkter från 360 och Tencent
  • Realtidsövervakning av användarbeteende, kategoriserat efter aktiviteter som meddelanden, röst- och videosamtal, shopping, nyhetskonsumtion, kartsökningar, streaming, spel, dejting, samåkning och e-postanvändning

Implikationer för nätverksgränssäkerhet

Routrar och edge-enheter fortsätter att representera värdefulla mål i avancerade, riktade intrångskampanjer. I takt med att hotaktörer i allt högre grad fokuserar på detta infrastrukturlager blir insyn i de verktyg och tekniker de använder avgörande. Exponeringen av DKnife-ramverket understryker mognaden hos moderna AitM-hot, som kombinerar djup paketinspektion, trafikmanipulation och skräddarsydd leverans av skadlig kod för att kompromettera ett brett utbud av enhetstyper i stor skala.

Trendigt

Mest sedda

Läser in...