DKnife AitM Çerçevesi

Siber güvenlik araştırmacıları, Çin bağlantılı tehdit aktörlerine atfedilen ve en az 2019'dan beri aktif olan DKnife olarak bilinen gelişmiş bir ağ geçidi izleme ve araya giren düşman (AitM) çerçevesini ortaya çıkardı. Bu çerçeve, ağın uç noktalarında çalışmak üzere özel olarak tasarlanmıştır ve ele geçirilmiş yönlendiriciler ve uç cihazlar aracılığıyla gizli trafik denetimi, manipülasyonu ve kötü amaçlı yazılım dağıtımını mümkün kılar.

Çince Konuşan Kullanıcılara Yönelik Stratejik Hedefleme

DKnife'ın öncelikle Çince konuşan kullanıcıları hedef aldığı görülüyor. Bu değerlendirme, Çin e-posta sağlayıcılarına özel olarak tasarlanmış kimlik avı sayfaları, WeChat gibi yaygın olarak kullanılan Çin mobil uygulamalarına odaklanan veri sızdırma modülleri ve kaynak kodunda Çin medya alanlarına yönelik sabit kodlanmış referanslar da dahil olmak üzere birçok göstergeyle destekleniyor. Ancak araştırmacılar, bu sonucun tek bir Komuta ve Kontrol (C2) sunucusundan alınan yapılandırma dosyalarına dayandığı ve diğer bölgelere özel olarak tasarlanmış paralel altyapıların olasılığını açık bıraktığı konusunda uyarıda bulunuyor.

Çin’le bağlantılı daha geniş tehdit faaliyetleriyle ilişkiler

Bu çerçeve, MOONSHINE güvenlik açığı kiti ve DarkNimbus (DarkNights olarak da bilinen) arka kapısıyla ilişkilendirilen ve Earth Minotaur olarak izlenen daha geniş bir Çin tehdit kümesinin soruşturması sırasında ortaya çıkarıldı. Dikkat çekici bir şekilde, DarkNimbus, TheWizards olarak bilinen Çin'e bağlı başka bir gelişmiş kalıcı tehdit grubu tarafından da kullanıldı.

Altyapı analizi, DKnife ile TheWizards tarafından kullanılan ve Nisan 2025'te kamuoyuna açıklanan Spellbinder adlı bir AitM çerçevesi aracılığıyla dağıtılan bir Windows kötü amaçlı yazılımı olan WizardNet arasında örtüşmeler olduğunu ortaya çıkardı. Bu bağlantılar, TheWizards'ın Kamboçya, Hong Kong, Çin anakarası, Filipinler ve Birleşik Arap Emirlikleri genelinde bireyleri ve kumarla ilgili kuruluşları hedef aldığı bilindiği göz önüne alındığında önemlidir.

Linux Odaklı, Modüler Bir Mimari

WizardNet'in aksine, DKnife özellikle Linux tabanlı ortamlar için tasarlanmıştır ve bu da onu yönlendiriciler ve uç cihazlarda dağıtım için oldukça uygun hale getirir. Çerçeve, bir ELF indirici aracılığıyla sunulur ve operatörlerin paket yönlendirmeden tam trafik engelleme ve manipülasyonuna kadar çeşitli yetenekleri seçici olarak etkinleştirmesine olanak tanıyan modüler bir tasarım kullanır.

DKnife Çerçeve Bileşenleri

• dknife.bin – Derin paket incelemesi, kullanıcı etkinliği izleme, DNS ele geçirme ve ikili dosya indirme ele geçirme işlemlerinden sorumlu temel modül.
• postapi.bin – DKnife'tan toplanan verileri alan ve bunları uzak C2 sunucularına ileten bir raporlama aktarıcısı.
• sslmm.bin – TLS sonlandırması, e-posta şifre çözme ve URL yönlendirmesi için kullanılan, değiştirilmiş bir HAProxy ters proxy'si.

• mmdown.bin – Kötü amaçlı Android APK'larını indirmek için önceden tanımlanmış bir C2 sunucusuna bağlanan bir güncelleme aracı.

• yitiji.bin – Saldırgan tarafından enjekte edilen LAN trafiği için yönlendiricide köprülenmiş bir TAP arayüzü oluşturan bir paket yönlendirici.

• remote.bin – Uzak C2 altyapısıyla iletişim kanalları kuran eşler arası bir VPN istemcisi.

• dkupdate.bin – Tüm bileşenlerin kalıcılığını ve kullanılabilirliğini sağlayan bir güncelleme ve izleme modülü.

Satır İçi Şifre Çözme Yöntemiyle Kimlik Bilgisi Toplama

DKnife, özellikle büyük bir Çinli e-posta sağlayıcısını hedef alan kimlik bilgisi hırsızlığı için özel işlevsellik içerir. sslmm.bin modülü, saldırgan tarafından kontrol edilen TLS sertifikalarını istemcilere sunar, POP3 ve IMAP bağlantılarını sonlandırır ve şifresini çözer ve ortaya çıkan düz metin trafiğini inceleyerek kullanıcı adlarını ve şifrelerini çıkarır. Elde edilen kimlik bilgileri buna göre etiketlenir, postapi.bin'e iletilir ve toplama ve analiz için uzak C2 sunucularına aktarılır.

Derin Paket İncelemesi Saldırıları Kolaylaştıran Bir Araç Olarak

Çerçeve sisteminin merkezinde, kapsamlı derin paket incelemesi ve gerçek zamanlı trafik analizi sağlayan dknife.bin yer almaktadır. Bu özellik, operatörlerin pasif izleme ile aktif hat içi saldırılar arasında sorunsuz bir şekilde geçiş yapmalarını sağlar; bu saldırılar arasında meşru yazılım indirmelerinin kötü amaçlı yazılımlarla değiştirilmesi de yer almaktadır.

Temel Operasyonel Yetenekler

• DarkNimbus kötü amaçlı yazılımının Android ve Windows sürümlerine güncellenmiş C2 yapılandırmalarının dağıtımı.
• JD.com ile ilgili alan adlarına ait trafiği yönlendirmek için hem IPv4 hem de IPv6 üzerinden DNS tabanlı ele geçirme saldırısı.
• Çin haber, yayın medyası, görüntü düzenleme, e-ticaret, araç çağırma, oyun ve yetişkin video platformlarına ait Android uygulama güncellemelerinin engellenmesi ve değiştirilmesi.
• Windows ve diğer ikili dosya indirmelerinin ele geçirilmesiyle ShadowPad arka kapısının DLL yan yüklemesi yoluyla dağıtılması ve ardından DarkNimbus'un yüklenmesi.
• 360 ve Tencent ürünleri de dahil olmak üzere virüs koruma ve sistem yönetimi yazılımlarından kaynaklanan iletişim kesintileri.
• Mesajlaşma, sesli ve görüntülü aramalar, alışveriş, haber tüketimi, harita aramaları, yayın izleme, oyun oynama, flört, araç paylaşımı ve e-posta kullanımı gibi etkinlikler genelinde kullanıcı davranışının gerçek zamanlı olarak izlenmesi.

Ağ Kenar Güvenliğine Yönelik Çıkarımlar

Yönlendiriciler ve uç cihazlar, gelişmiş ve hedefli saldırı kampanyalarında yüksek değerli hedefler olmaya devam ediyor. Tehdit aktörleri bu altyapı katmanına giderek daha fazla odaklandıkça, kullandıkları araç ve tekniklere ilişkin görünürlük hayati önem kazanıyor. DKnife çerçevesinin ifşa edilmesi, derin paket incelemesi, trafik manipülasyonu ve özel olarak tasarlanmış kötü amaçlı yazılım dağıtımını birleştirerek çok çeşitli cihaz türlerini büyük ölçekte tehlikeye atan modern AitM tehditlerinin olgunluğunu vurguluyor.