กรอบงาน DKnife AitM

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยเฟรมเวิร์กการตรวจสอบเกตเวย์และการโจมตีแบบ Adversary-in-the-Middle (AitM) ที่ซับซ้อนซึ่งรู้จักกันในชื่อ DKnife โดยเชื่อว่าเป็นฝีมือของกลุ่มผู้คุกคามที่เชื่อมโยงกับจีน และมีการใช้งานมาตั้งแต่ปี 2019 เป็นอย่างน้อย เฟรมเวิร์กนี้ถูกสร้างขึ้นมาโดยเฉพาะเพื่อทำงานที่ขอบเครือข่าย ทำให้สามารถตรวจสอบ จัดการ และส่งมัลแวร์ผ่านเราเตอร์และอุปกรณ์ขอบเครือข่ายที่ถูกบุกรุกได้อย่างลับๆ

การกำหนดเป้าหมายเชิงกลยุทธ์ของผู้ใช้ที่พูดภาษาจีน

ดูเหมือนว่า DKnife จะมุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาจีนเป็นหลัก การประเมินนี้ได้รับการสนับสนุนจากตัวบ่งชี้หลายประการ รวมถึงหน้าเว็บฟิชชิ่งที่ออกแบบมาสำหรับผู้ให้บริการอีเมลของจีน โมดูลการดึงข้อมูลที่เน้นแอปพลิเคชันมือถือของจีนที่ใช้กันอย่างแพร่หลาย เช่น WeChat และการอ้างอิงถึงโดเมนสื่อของจีนที่ฝังอยู่ในซอร์สโค้ด อย่างไรก็ตาม นักวิจัยเตือนว่าข้อสรุปนี้อิงจากไฟล์การกำหนดค่าที่ดึงมาจากเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) เพียงเครื่องเดียว ซึ่งเปิดโอกาสให้มีโครงสร้างพื้นฐานคู่ขนานที่ออกแบบมาสำหรับภูมิภาคอื่น ๆ

ความเชื่อมโยงกับกิจกรรมคุกคามในวงกว้างที่สอดคล้องกับจีน

โครงสร้างดังกล่าวถูกค้นพบในระหว่างการสืบสวนกลุ่มภัยคุกคามจากจีนในวงกว้างที่ติดตามได้ในชื่อ Earth Minotaur ซึ่งเกี่ยวข้องกับชุดเครื่องมือโจมตี MOONSHINE และแบ็กดอร์ DarkNimbus (หรือที่รู้จักกันในชื่อ DarkNights) ที่น่าสังเกตคือ DarkNimbus ยังถูกใช้งานโดยกลุ่มภัยคุกคามขั้นสูงแบบต่อเนื่องอีกกลุ่มหนึ่งที่เชื่อมโยงกับจีน ซึ่งรู้จักกันในชื่อ TheWizards

การวิเคราะห์โครงสร้างพื้นฐานเผยให้เห็นความทับซ้อนระหว่าง DKnife และ WizardNet ซึ่งเป็นโปรแกรมฝังตัวบนระบบปฏิบัติการ Windows ที่ TheWizards ใช้ และส่งผ่านเฟรมเวิร์ก AitM ที่เรียกว่า Spellbinder ซึ่งมีการบันทึกไว้ในเอกสารสาธารณะเมื่อเดือนเมษายน 2025 ความเชื่อมโยงเหล่านี้มีความสำคัญอย่างยิ่ง เนื่องจากเป็นที่ทราบกันดีว่า TheWizards มุ่งเป้าไปที่บุคคลและองค์กรที่เกี่ยวข้องกับการพนันในกัมพูชา ฮ่องกง จีนแผ่นดินใหญ่ ฟิลิปปินส์ และสหรัฐอาหรับเอมิเรตส์

สถาปัตยกรรมแบบโมดูลาร์ที่เน้นระบบปฏิบัติการลินุกซ์

แตกต่างจาก WizardNet, DKnife ได้รับการออกแบบมาโดยเฉพาะสำหรับสภาพแวดล้อมที่ใช้ Linux ทำให้เหมาะสำหรับการใช้งานบนเราเตอร์และอุปกรณ์ปลายทาง เฟรมเวิร์กนี้ส่งมอบผ่านตัวดาวน์โหลด ELF และใช้การออกแบบแบบโมดูลาร์ที่ช่วยให้ผู้ดูแลระบบสามารถเลือกเปิดใช้งานความสามารถต่างๆ ได้ ตั้งแต่การส่งต่อแพ็กเก็ตไปจนถึงการดักจับและจัดการทราฟฟิกอย่างเต็มรูปแบบ

ส่วนประกอบของเฟรมเวิร์ก DKnife

• dknife.bin – โมดูลหลักที่รับผิดชอบการตรวจสอบแพ็กเก็ตเชิงลึก การตรวจสอบกิจกรรมผู้ใช้ การโจรกรรม DNS และการโจรกรรมการดาวน์โหลดไบนารี
• postapi.bin – เซิร์ฟเวอร์รายงานที่รับข้อมูลที่รวบรวมได้จาก DKnife และส่งต่อไปยังเซิร์ฟเวอร์ C2 ระยะไกล
• sslmm.bin – รีเวิร์สพร็อกซี HAProxy ที่ได้รับการดัดแปลง ใช้สำหรับการยุติการเชื่อมต่อ TLS การถอดรหัสอีเมล และการเปลี่ยนเส้นทาง URL

การเก็บรวบรวมข้อมูลประจำตัวผ่านการถอดรหัสแบบอินไลน์

DKnife มีฟังก์ชันเฉพาะสำหรับการขโมยข้อมูลประจำตัว โดยเฉพาะอย่างยิ่งการโจมตีผู้ให้บริการอีเมลรายใหญ่ของจีน โมดูล sslmm.bin จะแสดงใบรับรอง TLS ที่ผู้โจมตีควบคุมได้แก่ไคลเอนต์ ยุติและถอดรหัสการเชื่อมต่อ POP3 และ IMAP และตรวจสอบข้อมูลที่เป็นข้อความธรรมดาเพื่อดึงชื่อผู้ใช้และรหัสผ่าน ข้อมูลประจำตัวที่ได้มาจะถูกติดป้ายกำกับตามความเหมาะสม ส่งต่อไปยัง postapi.bin และส่งต่อไปยังเซิร์ฟเวอร์ C2 ระยะไกลเพื่อรวบรวมและวิเคราะห์

การตรวจสอบแพ็กเก็ตเชิงลึกในฐานะเครื่องมือในการโจมตี

หัวใจสำคัญของเฟรมเวิร์กนี้คือ dknife.bin ซึ่งช่วยให้สามารถตรวจสอบแพ็กเก็ตเชิงลึกและวิเคราะห์การรับส่งข้อมูลแบบเรียลไทม์ได้อย่างครอบคลุม ความสามารถนี้ช่วยให้ผู้ปฏิบัติงานสามารถเปลี่ยนจากโหมดตรวจสอบแบบพาสซีฟไปสู่การโจมตีแบบแอคทีฟได้อย่างราบรื่น รวมถึงการแทนที่การดาวน์โหลดซอฟต์แวร์ที่ถูกต้องด้วยเพย์โหลดที่เป็นอันตราย

ขีดความสามารถในการปฏิบัติงานหลัก

• การแจกจ่ายไฟล์การกำหนดค่า C2 ที่อัปเดตแล้วไปยังระบบปฏิบัติการ Android และ Windows ของมัลแวร์ DarkNimbus
• การโจมตีแบบ DNS-based hijacking ทั้งบน IPv4 และ IPv6 เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลที่เกี่ยวข้องกับโดเมนที่คล้ายกับ JD.com
• การดักจับและแทนที่การอัปเดตแอปพลิเคชัน Android สำหรับแพลตฟอร์มข่าวสาร สตรีมมิ่งมีเดีย การแก้ไขภาพ อีคอมเมิร์ซ บริการเรียกรถ เกม และวิดีโอโป๊ของจีน
• การแฮ็กระบบปฏิบัติการ Windows และการดาวน์โหลดไฟล์ไบนารีอื่นๆ เพื่อติดตั้งแบ็กดอร์ ShadowPad ผ่านการโหลด DLL จากด้านข้าง จากนั้นจึงโหลด DarkNimbus
• การรบกวนการสื่อสารจากซอฟต์แวร์ป้องกันไวรัสและซอฟต์แวร์จัดการระบบ รวมถึงผลิตภัณฑ์จาก 360 และ Tencent
• การตรวจสอบพฤติกรรมผู้ใช้แบบเรียลไทม์ โดยแบ่งตามกิจกรรมต่างๆ เช่น การส่งข้อความ การโทรด้วยเสียงและวิดีโอ การช้อปปิ้ง การอ่านข่าว การค้นหาแผนที่ การสตรีมมิ่ง การเล่นเกม การหาคู่ การใช้บริการรถร่วม และการใช้งานอีเมล

ผลกระทบต่อความปลอดภัยของเครือข่ายบริเวณขอบ

เราเตอร์และอุปกรณ์ปลายทางยังคงเป็นเป้าหมายที่มีมูลค่าสูงในแคมเปญการโจมตีแบบเจาะจงขั้นสูง เนื่องจากผู้คุกคามให้ความสำคัญกับโครงสร้างพื้นฐานส่วนนี้มากขึ้นเรื่อยๆ การตรวจสอบเครื่องมือและเทคนิคที่พวกเขาใช้จึงมีความสำคัญอย่างยิ่ง การเปิดเผยเฟรมเวิร์ก DKnife เน้นย้ำถึงความก้าวหน้าของภัยคุกคาม AitM สมัยใหม่ ซึ่งผสมผสานการตรวจสอบแพ็กเก็ตเชิงลึก การจัดการทราฟฟิก และการส่งมัลแวร์ที่ปรับแต่งมาโดยเฉพาะ เพื่อโจมตีอุปกรณ์หลากหลายประเภทในวงกว้าง