Multi-License Discount Quote
Banta sa Database Advanced Persistent Threat (APT) Balangkas ng DKnife AitM

Balangkas ng DKnife AitM

Sa pamamagitan ng Mezo sa Advanced Persistent Threat (APT), Malware
Isalin To:

Isiniwalat ng mga mananaliksik sa cybersecurity ang isang sopistikadong balangkas para sa gateway-monitoring at adversary-in-the-middle (AitM) na kilala bilang DKnife, na iniuugnay sa mga aktor ng banta ng China-nexus at aktibo simula pa noong 2019. Ang balangkas ay sadyang ginawa upang gumana sa gilid ng network, na nagbibigay-daan sa palihim na inspeksyon ng trapiko, manipulasyon, at paghahatid ng malware sa pamamagitan ng mga nakompromisong router at edge device.

Istratehikong Pag-target sa mga Gumagamit na Nagsasalita ng Tsino

Tila pangunahing tinatarget ng DKnife ang mga gumagamit na nagsasalita ng Tsino. Ang pagtatasang ito ay sinusuportahan ng maraming tagapagpahiwatig, kabilang ang mga phishing page na iniayon para sa mga Chinese email provider, mga data exfiltration module na nakatuon sa malawakang ginagamit na mga Chinese mobile application tulad ng WeChat, at mga hard-coded na sanggunian sa mga Chinese media domain sa loob ng source code. Gayunpaman, nagbabala ang mga mananaliksik na ang konklusyong ito ay batay sa mga configuration file na nakuha mula sa isang Command-and-Control (C2) server, na nag-iiwan ng posibilidad ng mga parallel infrastructure na iniayon sa ibang mga rehiyon.

Mga Ugnayan sa Mas Malawak na Aktibidad ng Banta na Nakahanay sa Tsina

Natuklasan ang balangkas sa panahon ng imbestigasyon sa isang mas malawak na kumpol ng banta ng Tsina na sinusubaybayan bilang Earth Minotaur, na iniuugnay sa MOONSHINE exploit kit at sa DarkNimbus (kilala rin bilang DarkNights) backdoor. Kapansin-pansin, ang DarkNimbus ay ipinadala rin ng isa pang advanced persistent threat group na kaalyado ng Tsina na kilala bilang TheWizards.

Isiniwalat ng pagsusuri sa imprastraktura ang mga pagsasanib sa pagitan ng DKnife at WizardNet, isang Windows implant na ginagamit ng TheWizards at inihatid sa pamamagitan ng isang AitM framework na tinatawag na Spellbinder, na idinokumento sa publiko noong Abril 2025. Mahalaga ang mga koneksyon na ito dahil sa kilalang pag-target ng TheWizards sa mga indibidwal at mga entidad na may kaugnayan sa pagsusugal sa buong Cambodia, Hong Kong, Mainland China, Pilipinas, at United Arab Emirates.

Isang Arkitekturang Modular na Nakatuon sa Linux

Hindi tulad ng WizardNet, ang DKnife ay partikular na ginawa para sa mga kapaligirang nakabase sa Linux, kaya naman angkop ito para sa pag-deploy sa mga router at edge device. Ang framework ay inihahatid sa pamamagitan ng isang ELF downloader at gumagamit ng modular na disenyo na nagbibigay-daan sa mga operator na piliing paganahin ang mga kakayahan mula sa pagpapasa ng packet hanggang sa ganap na interception at manipulasyon ng trapiko.

Mga Bahagi ng Balangkas ng DKnife

  • dknife.bin – Ang pangunahing modyul na responsable para sa malalim na inspeksyon ng packet, pagsubaybay sa aktibidad ng gumagamit, pag-hijack ng DNS, at pag-hijack ng binary download
  • postapi.bin – Isang reporting relay na tumatanggap ng kinolektang datos mula sa DKnife at ipinapasa ito sa mga remote C2 server
  • sslmm.bin – Isang binagong HAProxy reverse proxy na ginagamit para sa pagtatapos ng TLS, pag-decrypt ng email, at pag-redirect ng URL
  • mmdown.bin – Isang updater na kumokonekta sa isang hard-coded na C2 server upang makuha ang mga malisyosong Android APK
  • yitiji.bin – Isang packet forwarder na lumilikha ng bridged TAP interface sa router para sa trapiko ng LAN na ini-inject ng attacker
  • remote.bin – Isang peer-to-peer VPN client na nagtatatag ng mga channel ng komunikasyon gamit ang remote C2 infrastructure
  • dkupdate.bin – Isang updater at watchdog module na nagsisiguro sa pagpapanatili at pagkakaroon ng lahat ng bahagi

Pagkuha ng Kredensyal sa Pamamagitan ng Inline Decryption

Kasama sa DKnife ang nakalaang functionality para sa pagnanakaw ng kredensyal, partikular na ang pag-target sa isang pangunahing provider ng email sa Tsina. Ang module na sslmm.bin ay nagpapakita ng mga TLS certificate na kontrolado ng attacker sa mga kliyente, tinatapos at idine-decrypt ang mga koneksyon ng POP3 at IMAP, at sinusuri ang nagresultang plaintext traffic upang makuha ang mga username at password. Ang mga nakuha na kredensyal ay nilagyan ng label nang naaayon, ipinapasa sa postapi.bin, at ipinapadala sa mga remote C2 server para sa koleksyon at pagsusuri.

Inspeksyon ng Deep Packet bilang Isang Tagapag-udyok ng Pag-atake

Nasa puso ng balangkas ang dknife.bin, na nagbibigay-daan sa malawak at malalim na inspeksyon ng packet at real-time na pagsusuri ng trapiko. Ang kakayahang ito ay nagbibigay-daan sa mga operator na lumipat nang walang kahirap-hirap sa pagitan ng passive monitoring at aktibong in-line na mga pag-atake, kabilang ang pagpapalit ng mga lehitimong pag-download ng software ng mga malisyosong payload.

Mga Pangunahing Kakayahang Operasyonal

  • Pamamahagi ng mga na-update na configuration ng C2 sa mga variant ng DarkNimbus malware sa Android at Windows
  • Pag-hijack batay sa DNS sa parehong IPv4 at IPv6 upang i-redirect ang trapiko na nauugnay sa mga domain na nauugnay sa JD.com
  • Pagharang at pagpapalit ng mga update sa Android application para sa mga balitang Tsino, streaming media, pag-eedit ng imahe, e-commerce, ride-hailing, gaming, at mga platform ng adult video
  • Pag-hijack ng Windows at iba pang binary downloads upang maihatid ang ShadowPad backdoor sa pamamagitan ng DLL side-loading, na kasunod na naglo-load ng DarkNimbus
  • Pagkagambala ng mga komunikasyon mula sa antivirus at system-management software, kabilang ang mga produkto mula sa 360 at Tencent
  • Real-time na pagsubaybay sa pag-uugali ng gumagamit, na ikinategorya sa mga aktibidad tulad ng pagmemensahe, mga tawag sa boses at video, pamimili, pagkonsumo ng balita, paghahanap sa mapa, streaming, paglalaro, pakikipag-date, ride-sharing, at paggamit ng email

Mga Implikasyon para sa Seguridad ng Network Edge

Ang mga router at edge device ay patuloy na kumakatawan sa mga target na may mataas na halaga sa mga advanced at naka-target na kampanya ng panghihimasok. Habang ang mga aktor ng banta ay lalong nakatuon sa layer na ito ng imprastraktura, ang kakayahang makita ang mga tool at pamamaraan na kanilang ginagamit ay nagiging mahalaga. Ang pagkakalantad sa balangkas ng DKnife ay nagbibigay-diin sa kapanahunan ng mga modernong banta ng AitM, na pinagsasama ang malalim na inspeksyon ng packet, manipulasyon ng trapiko, at pinasadyang paghahatid ng malware upang makompromiso ang malawak na hanay ng mga uri ng device sa malawak na saklaw.

Trending

Pinaka Nanood

Naglo-load...