Фреймворк DKnife AitM
Дослідники з кібербезпеки виявили складну систему моніторингу шлюзів та боротьби зі зловмисниками посередині (AitM), відому як DKnife, яку приписують кінексним кіберзлочинцям та яка активна щонайменше з 2019 року. Ця система спеціально розроблена для роботи на межі мережі, що дозволяє приховану перевірку трафіку, маніпулювання та доставку шкідливого програмного забезпечення через скомпрометовані маршрутизатори та периферійні пристрої.
Зміст
Стратегічне таргетування китайськомовних користувачів
DKnife, схоже, в основному орієнтований на китайськомовних користувачів. Цю оцінку підтверджують численні показники, зокрема фішингові сторінки, адаптовані для китайських постачальників електронної пошти, модулі витоку даних, орієнтовані на широко використовувані китайські мобільні додатки, такі як WeChat, та жорстко закодовані посилання на китайські медіа-домени у вихідному коді. Однак дослідники застерігають, що цей висновок ґрунтується на файлах конфігурації, отриманих з одного сервера командування та управління (C2), що залишає відкритою можливість паралельних інфраструктур, адаптованих для інших регіонів.
Зв’язки з ширшою діяльністю, пов’язаною з Китаєм, щодо загроз
Цю платформу було виявлено під час розслідування ширшого китайського кластера загроз, що відстежувався як Earth Minotaur, який пов'язували з експлойт-кітом MOONSHINE та бекдором DarkNimbus (також відомим як DarkNights). Примітно, що DarkNimbus також був розгорнутий іншою пов'язаною з Китаєм групою розвідки стійких загроз, відомою як TheWizards.
Аналіз інфраструктури виявив перекриття між DKnife та WizardNet, імплантатом Windows, який використовує TheWizards та розповсюджується через фреймворк AitM під назвою Spellbinder, що було публічно задокументовано у квітні 2025 року. Ці зв'язки є значними, враховуючи відомі атаки TheWizards на окремих осіб та організації, пов'язані з азартними іграми, у Камбоджі, Гонконзі, материковому Китаї, Філіппінах та Об'єднаних Арабських Еміратах.
Модульна архітектура, орієнтована на Linux
На відміну від WizardNet, DKnife розроблений спеціально для середовищ на базі Linux, що робить його добре пристосованим для розгортання на маршрутизаторах та периферійних пристроях. Фреймворк постачається через завантажувач ELF та використовує модульну конструкцію, яка дозволяє операторам вибірково вмикати можливості, починаючи від пересилання пакетів до повного перехоплення та маніпулювання трафіком.
Компоненти фреймворку DKnife
- dknife.bin – основний модуль, що відповідає за глибоку перевірку пакетів, моніторинг активності користувачів, захоплення DNS та захоплення завантажених бінарних файлів.
- postapi.bin – ретрансляція звітів, яка отримує зібрані дані з DKnife та пересилає їх на віддалені сервери C2.
- sslmm.bin – модифікований зворотний проксі-сервер HAProxy, що використовується для завершення TLS, розшифрування електронної пошти та перенаправлення URL-адрес.
- mmdown.bin – оновлювач, який підключається до жорстко закодованого сервера C2 для отримання шкідливих APK-файлів Android.
- yitiji.bin – пересилач пакетів, який створює мостовий інтерфейс TAP на маршрутизаторі для локального трафіку, впровадженого зловмисником.
- remote.bin – одноранговий VPN-клієнт, який встановлює канали зв'язку з віддаленою інфраструктурою C2.
- dkupdate.bin – модуль оновлення та сторожового механізму, що забезпечує збереження та доступність усіх компонентів.
Збір облікових даних за допомогою вбудованого дешифрування
DKnife включає спеціальну функцію для крадіжки облікових даних, зокрема, спрямовану на одного з великих китайських постачальників поштових послуг. Модуль sslmm.bin надає клієнтам контрольовані зловмисником TLS-сертифікати, розриває та розшифровує POP3- та IMAP-з'єднання, а також перевіряє отриманий трафік у відкритому тексті для вилучення імен користувачів та паролів. Зібрані облікові дані маркуються відповідним чином, передаються до postapi.bin та передаються на віддалені сервери C2 для збору та аналізу.
Глибока перевірка пакетів як засіб сприяння атакам
В основі фреймворку лежить dknife.bin, який дозволяє проводити глибоку перевірку пакетів та аналіз трафіку в режимі реального часу. Ця функція дозволяє операторам плавно переходити між пасивним моніторингом та активними атаками в режимі реального часу, включаючи заміну завантажень легітимного програмного забезпечення шкідливими корисними навантаженнями.
Ключові операційні можливості
- Розповсюдження оновлених конфігурацій C2 для варіантів шкідливого програмного забезпечення DarkNimbus для Android та Windows.
- Викрадення DNS через IPv4 та IPv6 для перенаправлення трафіку, пов'язаного з доменами, пов'язаними з JD.com
- Перехоплення та заміна оновлень додатків Android для китайських новин, потокового медіа, редагування зображень, електронної комерції, послуг поїздок, ігор та платформ відео для дорослих
- Викрадення Windows та інших бінарних завантажень для доставки бекдору ShadowPad через завантаження DLL, що призводить до подальшого завантаження DarkNimbus.
- Переривання зв'язку від антивірусного програмного забезпечення та програмного забезпечення для керування системами, включаючи продукти 360 та Tencent
- Моніторинг поведінки користувачів у режимі реального часу, класифікований за такими видами діяльності, як обмін повідомленнями, голосові та відеодзвінки, покупки, перегляд новин, пошук на карті, потокове передавання даних, ігри, знайомства, спільне використання автомобілів та використання електронної пошти
Наслідки для безпеки межі мережі
Маршрутизатори та периферійні пристрої продовжують бути цінними цілями в передових, цілеспрямованих кампаніях з вторгнення. Оскільки зловмисники все більше зосереджуються на цьому рівні інфраструктури, прозорість інструментів та методів, які вони використовують, стає надзвичайно важливою. Розкриття фреймворку DKnife підкреслює зрілість сучасних загроз AitM, які поєднують глибоку перевірку пакетів, маніпулювання трафіком та спеціалізовану доставку шкідливого програмного забезпечення для компрометації широкого спектру типів пристроїв у великих масштабах.
