బహుళ-లైసెన్స్ తగ్గింపు కోట్
బెదిరింపు డేటాబేస్ అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT) DKnife AitM ఫ్రేమ్‌వర్క్

DKnife AitM ఫ్రేమ్‌వర్క్

అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT), మాల్వేర్లో Mezo నాటికి
దీనికి అనువదించండి:

సైబర్‌ సెక్యూరిటీ పరిశోధకులు DKnife అని పిలువబడే అధునాతన గేట్‌వే-మానిటరింగ్ మరియు వ్యతిరేకి-మధ్య (AitM) ఫ్రేమ్‌వర్క్‌ను వెల్లడించారు, ఇది చైనా-నెక్సస్ బెదిరింపు నటులకు ఆపాదించబడింది మరియు కనీసం 2019 నుండి చురుకుగా ఉంది. ఈ ఫ్రేమ్‌వర్క్ నెట్‌వర్క్ అంచున పనిచేయడానికి ఉద్దేశించబడింది, రాజీపడిన రౌటర్లు మరియు అంచు పరికరాల ద్వారా రహస్య ట్రాఫిక్ తనిఖీ, మానిప్యులేషన్ మరియు మాల్వేర్ డెలివరీని అనుమతిస్తుంది.

చైనీస్ మాట్లాడే వినియోగదారులను వ్యూహాత్మకంగా లక్ష్యంగా చేసుకోవడం

DKnife ప్రధానంగా చైనీస్ మాట్లాడే వినియోగదారులను లక్ష్యంగా చేసుకున్నట్లు కనిపిస్తోంది. ఈ అంచనాకు చైనీస్ ఇమెయిల్ ప్రొవైడర్ల కోసం రూపొందించిన ఫిషింగ్ పేజీలు, WeChat వంటి విస్తృతంగా ఉపయోగించే చైనీస్ మొబైల్ అప్లికేషన్‌లపై దృష్టి సారించిన డేటా ఎక్స్‌ఫిల్ట్రేషన్ మాడ్యూల్స్ మరియు సోర్స్ కోడ్‌లోని చైనీస్ మీడియా డొమైన్‌లకు హార్డ్-కోడెడ్ రిఫరెన్స్‌లు వంటి బహుళ సూచికలు మద్దతు ఇస్తున్నాయి. అయితే, ఈ ముగింపు ఒకే కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి తిరిగి పొందిన కాన్ఫిగరేషన్ ఫైల్‌లపై ఆధారపడి ఉంటుందని, ఇతర ప్రాంతాలకు అనుగుణంగా సమాంతర మౌలిక సదుపాయాల అవకాశాన్ని తెరిచి ఉంచుతుందని పరిశోధకులు హెచ్చరిస్తున్నారు.

విస్తృత చైనా-సమ్మేళన ముప్పు కార్యకలాపాలతో సంబంధాలు

MOONSHINE దోపిడీ కిట్ మరియు డార్క్ నింబస్ (డార్క్ నైట్స్ అని కూడా పిలుస్తారు) బ్యాక్‌డోర్‌తో సంబంధం కలిగి ఉన్న ఎర్త్ మినోటార్‌గా ట్రాక్ చేయబడిన విస్తృత చైనీస్ ముప్పు క్లస్టర్ దర్యాప్తులో ఈ ఫ్రేమ్‌వర్క్ బయటపడింది. ముఖ్యంగా, డార్క్ నింబస్‌ను ది విజార్డ్స్ అని పిలువబడే మరొక చైనా-సమలేఖన అధునాతన నిరంతర ముప్పు సమూహం కూడా మోహరించింది.

మౌలిక సదుపాయాల విశ్లేషణ DKnife మరియు WizardNet మధ్య అతివ్యాప్తులను వెల్లడించింది, ఇది TheWizards ఉపయోగించే Windows ఇంప్లాంట్ మరియు Spellbinder అనే AitM ఫ్రేమ్‌వర్క్ ద్వారా పంపిణీ చేయబడింది, ఇది ఏప్రిల్ 2025లో బహిరంగంగా డాక్యుమెంట్ చేయబడింది. TheWizards కంబోడియా, హాంకాంగ్, మెయిన్‌ల్యాండ్ చైనా, ఫిలిప్పీన్స్ మరియు యునైటెడ్ అరబ్ ఎమిరేట్స్ అంతటా వ్యక్తులు మరియు జూదం సంబంధిత సంస్థలను లక్ష్యంగా చేసుకున్నట్లు తెలిసినందున ఈ కనెక్షన్లు ముఖ్యమైనవి.

లైనక్స్-ఫోకస్డ్, మాడ్యులర్ ఆర్కిటెక్చర్

విజార్డ్‌నెట్ మాదిరిగా కాకుండా, DKnife ప్రత్యేకంగా Linux-ఆధారిత వాతావరణాల కోసం రూపొందించబడింది, ఇది రౌటర్లు మరియు అంచు పరికరాల్లో విస్తరణకు బాగా సరిపోతుంది. ఫ్రేమ్‌వర్క్ ELF డౌన్‌లోడ్ ద్వారా పంపిణీ చేయబడుతుంది మరియు ఆపరేటర్లు ప్యాకెట్ ఫార్వార్డింగ్ నుండి పూర్తి ట్రాఫిక్ ఇంటర్‌సెప్షన్ మరియు మానిప్యులేషన్ వరకు సామర్థ్యాలను ఎంపిక చేసుకోవడానికి అనుమతించే మాడ్యులర్ డిజైన్‌ను ఉపయోగిస్తుంది.

DKnife ఫ్రేమ్‌వర్క్ భాగాలు

  • dknife.bin – డీప్ ప్యాకెట్ తనిఖీ, వినియోగదారు కార్యాచరణ పర్యవేక్షణ, DNS హైజాకింగ్ మరియు బైనరీ డౌన్‌లోడ్ హైజాకింగ్‌కు బాధ్యత వహించే కోర్ మాడ్యూల్
  • postapi.bin – DKnife నుండి సేకరించిన డేటాను స్వీకరించి రిమోట్ C2 సర్వర్‌లకు ఫార్వార్డ్ చేసే రిపోర్టింగ్ రిలే
  • sslmm.bin – TLS ముగింపు, ఇమెయిల్ డిక్రిప్షన్ మరియు URL దారి మళ్లింపు కోసం ఉపయోగించే సవరించిన HAProxy రివర్స్ ప్రాక్సీ
  • mmdown.bin – హానికరమైన Android APKలను తిరిగి పొందడానికి హార్డ్-కోడెడ్ C2 సర్వర్‌కు కనెక్ట్ అయ్యే అప్‌డేటర్.
  • yitiji.bin – దాడి చేసేవారు ఇంజెక్ట్ చేసిన LAN ట్రాఫిక్ కోసం రౌటర్‌లో బ్రిడ్జ్డ్ TAP ఇంటర్‌ఫేస్‌ను సృష్టించే ప్యాకెట్ ఫార్వర్డర్.
  • remote.bin – రిమోట్ C2 మౌలిక సదుపాయాలతో కమ్యూనికేషన్ ఛానెల్‌లను ఏర్పాటు చేసే పీర్-టు-పీర్ VPN క్లయింట్.
  • dkupdate.bin – అన్ని భాగాల స్థిరత్వం మరియు లభ్యతను నిర్ధారించే అప్‌డేటర్ మరియు వాచ్‌డాగ్ మాడ్యూల్

    • ఇన్‌లైన్ డిక్రిప్షన్ ద్వారా ఆధారాల సేకరణ

    DKnife లో క్రెడెన్షియల్ దొంగతనం కోసం ప్రత్యేక కార్యాచరణ ఉంది, ముఖ్యంగా ఒక ప్రధాన చైనీస్ ఇమెయిల్ ప్రొవైడర్‌ను లక్ష్యంగా చేసుకుంటుంది. sslmm.bin మాడ్యూల్ దాడి చేసేవారి-నియంత్రిత TLS సర్టిఫికెట్‌లను క్లయింట్‌లకు అందిస్తుంది, POP3 మరియు IMAP కనెక్షన్‌లను రద్దు చేస్తుంది మరియు డీక్రిప్ట్ చేస్తుంది మరియు వినియోగదారు పేర్లు మరియు పాస్‌వర్డ్‌లను సంగ్రహించడానికి ఫలిత సాదా టెక్స్ట్ ట్రాఫిక్‌ను తనిఖీ చేస్తుంది. హార్వెస్ట్ చేయబడిన ఆధారాలు తదనుగుణంగా లేబుల్ చేయబడతాయి, postapi.binకి పంపబడతాయి మరియు సేకరణ మరియు విశ్లేషణ కోసం రిమోట్ C2 సర్వర్‌లకు ప్రసారం చేయబడతాయి.

    దాడిని ప్రారంభించే వ్యక్తిగా డీప్ ప్యాకెట్ తనిఖీ

    ఈ ఫ్రేమ్‌వర్క్ యొక్క గుండె వద్ద dknife.bin ఉంది, ఇది విస్తృతమైన లోతైన ప్యాకెట్ తనిఖీ మరియు నిజ-సమయ ట్రాఫిక్ విశ్లేషణను అనుమతిస్తుంది. ఈ సామర్థ్యం ఆపరేటర్‌లను నిష్క్రియాత్మక పర్యవేక్షణ మరియు క్రియాశీల ఇన్-లైన్ దాడుల మధ్య సజావుగా పరివర్తన చెందడానికి అనుమతిస్తుంది, వీటిలో చట్టబద్ధమైన సాఫ్ట్‌వేర్ డౌన్‌లోడ్‌లను హానికరమైన పేలోడ్‌లతో భర్తీ చేయడం కూడా ఉంటుంది.

    కీలక కార్యాచరణ సామర్థ్యాలు

    • డార్క్ నింబస్ మాల్వేర్ యొక్క ఆండ్రాయిడ్ మరియు విండోస్ వేరియంట్‌లకు నవీకరించబడిన C2 కాన్ఫిగరేషన్‌ల పంపిణీ
    • JD.com-సంబంధిత డొమైన్‌లతో అనుబంధించబడిన ట్రాఫిక్‌ను దారి మళ్లించడానికి IPv4 మరియు IPv6 రెండింటిపై DNS-ఆధారిత హైజాకింగ్.
    • చైనీస్ వార్తలు, స్ట్రీమింగ్ మీడియా, ఇమేజ్ ఎడిటింగ్, ఇ-కామర్స్, రైడ్-హెయిలింగ్, గేమింగ్ మరియు అడల్ట్ వీడియో ప్లాట్‌ఫామ్‌ల కోసం ఆండ్రాయిడ్ అప్లికేషన్ అప్‌డేట్‌లను అడ్డగించడం మరియు భర్తీ చేయడం.
    • DLL సైడ్-లోడింగ్ ద్వారా షాడోప్యాడ్ బ్యాక్‌డోర్‌ను అందించడానికి విండోస్ మరియు ఇతర బైనరీ డౌన్‌లోడ్‌లను హైజాక్ చేయడం, తరువాత డార్క్‌నింబస్‌ను లోడ్ చేయడం.
    • 360 మరియు టెన్సెంట్ ఉత్పత్తులతో సహా యాంటీవైరస్ మరియు సిస్టమ్-నిర్వహణ సాఫ్ట్‌వేర్ నుండి కమ్యూనికేషన్లకు అంతరాయం.
    • మెసేజింగ్, వాయిస్ మరియు వీడియో కాల్స్, షాపింగ్, వార్తల వినియోగం, మ్యాప్ శోధనలు, స్ట్రీమింగ్, గేమింగ్, డేటింగ్, రైడ్-షేరింగ్ మరియు ఇమెయిల్ వినియోగం వంటి కార్యకలాపాలలో వర్గీకరించబడిన వినియోగదారు ప్రవర్తన యొక్క నిజ-సమయ పర్యవేక్షణ.

    నెట్‌వర్క్ ఎడ్జ్ భద్రతకు సంబంధించిన చిక్కులు

    అధునాతన, లక్ష్యంగా చేసుకున్న చొరబాటు ప్రచారాలలో రూటర్లు మరియు అంచు పరికరాలు అధిక-విలువ లక్ష్యాలను సూచిస్తూనే ఉన్నాయి. ముప్పు కలిగించే వ్యక్తులు ఈ మౌలిక సదుపాయాల పొరపై ఎక్కువగా దృష్టి సారిస్తున్నందున, వారు ఉపయోగించే సాధనాలు మరియు సాంకేతికతలలో దృశ్యమానత తప్పనిసరి అవుతుంది. DKnife ఫ్రేమ్‌వర్క్ యొక్క బహిర్గతం ఆధునిక AitM ముప్పుల పరిపక్వతను నొక్కి చెబుతుంది, ఇవి లోతైన ప్యాకెట్ తనిఖీ, ట్రాఫిక్ మానిప్యులేషన్ మరియు టైలర్డ్ మాల్వేర్ డెలివరీని కలిపి విస్తృత శ్రేణి పరికర రకాలను రాజీ చేస్తాయి.

    ట్రెండింగ్‌లో ఉంది

    AISURU/Kimwolf Botnet

    బోట్‌నెట్‌లు, అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT)
    AISURU/Kimwolf గా ట్రాక్ చేయబడిన డిస్ట్రిబ్యూటెడ్ డెనియల్-ఆఫ్-సర్వీస్ (DDoS) బోట్‌నెట్, సెకనుకు 31.4 టెరాబిట్స్ (Tbps) గరిష్ట స్థాయికి చేరుకున్న అపూర్వమైన దాడికి లింక్ చేయబడింది. దాని తీవ్ర తీవ్రత ఉన్నప్పటికీ, దాడి స్వల్పకాలికంగా ఉంది, కేవలం 35 సెకన్లు మాత్రమే కొనసాగింది. ఈ సంఘటన నవంబర్ 2025లో జరిగింది మరియు ఇప్పుడు ఇప్పటివరకు గమనించిన అతిపెద్ద DDoS దాడిగా నిలిచింది. హైపర్-వాల్యూమెట్రిక్ HTTP...

    Taqw Ransomware

    Ransomware
    Taqw, ransomware యొక్క రూపంగా వర్గీకరించబడింది, విలువైన డేటాను గుప్తీకరించే ప్రాథమిక లక్ష్యంతో మాల్వేర్ యొక్క శక్తివంతమైన జాతిగా నిలుస్తుంది. ముప్పు ప్రభావవంతమైన ఫైల్‌లకు నిజమైన యజమానుల యాక్సెస్‌ను...

    బ్లాక్ వాల్‌స్ట్రీట్ (TULSA) ఎయిర్‌డ్రాప్ స్కామ్

    రోగ్ వెబ్‌సైట్‌లు
    వెబ్ బ్రౌజ్ చేస్తున్నప్పుడు జాగ్రత్త వహించడం ఇంతకు ముందు ఎన్నడూ లేనంత క్లిష్టంగా మారింది, ముఖ్యంగా క్రిప్టోకరెన్సీ రంగంలో. సైబర్ నేరస్థులు వినియోగదారులను అధునాతన స్కామ్‌లలోకి లాగడానికి హైప్,...

    అత్యంత వీక్షించబడిన

    మాల్వేర్

    ఫిషింగ్, స్పామ్
    26,653
    'Apple Pay సస్పెండ్ చేయబడింది' స్కామ్ సందేశం Apple Pay వినియోగదారులను లక్ష్యంగా చేసుకునే ఒక రకమైన ఫిషింగ్ వ్యూహం. యూజర్ యొక్క Apple Pay వాలెట్ తాత్కాలికంగా నిలిపివేయబడిందని మరియు దానిని పునరుద్ధరించడానికి లింక్‌ను క్లిక్ చేయమని సందేశం పేర్కొంది. అయితే, లింక్‌పై క్లిక్ చేయడం ద్వారా వినియోగదారు వారి వ్యక్తిగత మరియు ఆర్థిక సమాచారాన్ని దొంగిలించడానికి రూపొందించబడిన నకిలీ వెబ్‌సైట్‌కి...
    'గీక్ స్క్వాడ్' ఇమెయిల్ స్కామ్ స్క్రీన్ షాట్

    'గీక్ స్క్వాడ్' ఇమెయిల్ స్కామ్

    ఫిషింగ్, స్పామ్
    24,472
    గీక్ స్క్వాడ్, ప్రముఖ టెక్ సపోర్ట్ ప్రొవైడర్, గీక్ స్క్వాడ్ ఇమెయిల్ స్కామ్ అనే ఫిషింగ్ స్కామ్‌కు బాధితురాలిగా మారింది. ఈ టెక్ సపోర్ట్ స్కామ్ నకిలీ ఇమెయిల్‌లను ఉపయోగిస్తుంది, ఇది క్రెడిట్ కార్డ్...

    Fuq.com

    రోగ్ యాంటీ-స్పైవేర్ ప్రోగ్రామ్, Mac మాల్వేర్
    22,426
    Fuq.com అనేది అశ్లీల కంటెంట్‌తో వెబ్‌సైట్‌లను ప్రచారం చేసే యాడ్‌వేర్-రకం ప్రోగ్రామ్. ఈ సంభావ్య అవాంఛిత ప్రోగ్రామ్ (PUP) యొక్క ప్రకటనల ప్రచారాలు చాలా దూకుడుగా ఉన్నాయి. సోకిన పరికరాలలో సంబంధిత...
    లోడ్...