Khung DKnife AitM
Các nhà nghiên cứu an ninh mạng đã tiết lộ một khung giám sát cổng mạng và tấn công trung gian (AitM) tinh vi có tên gọi DKnife, được cho là do các nhóm tội phạm có liên hệ với Trung Quốc tạo ra và đã hoạt động ít nhất từ năm 2019. Khung này được thiết kế để hoạt động ở rìa mạng, cho phép kiểm tra lưu lượng truy cập bí mật, thao túng và phát tán phần mềm độc hại thông qua các bộ định tuyến và thiết bị biên bị xâm nhập.
Mục lục
Chiến lược nhắm mục tiêu vào người dùng nói tiếng Trung Quốc
DKnife dường như chủ yếu nhắm mục tiêu vào người dùng nói tiếng Trung Quốc. Nhận định này được hỗ trợ bởi nhiều dấu hiệu, bao gồm các trang web lừa đảo được thiết kế riêng cho các nhà cung cấp email Trung Quốc, các mô-đun đánh cắp dữ liệu tập trung vào các ứng dụng di động phổ biến của Trung Quốc như WeChat, và các tham chiếu được mã hóa cứng đến các tên miền truyền thông Trung Quốc trong mã nguồn. Tuy nhiên, các nhà nghiên cứu cảnh báo rằng kết luận này dựa trên các tệp cấu hình được lấy từ một máy chủ điều khiển và kiểm soát (C2) duy nhất, vẫn để ngỏ khả năng tồn tại các cơ sở hạ tầng song song được thiết kế riêng cho các khu vực khác.
Có liên hệ với các hoạt động đe dọa rộng hơn liên kết với Trung Quốc
Khung phần mềm này được phát hiện trong quá trình điều tra một nhóm tin tặc nguy hiểm quy mô lớn của Trung Quốc được theo dõi với tên gọi Earth Minotaur, có liên quan đến bộ công cụ khai thác lỗ hổng MOONSHINE và phần mềm cửa hậu DarkNimbus (còn được gọi là DarkNights). Đáng chú ý, DarkNimbus cũng đã được triển khai bởi một nhóm tin tặc nguy hiểm dai dẳng khác có liên kết với Trung Quốc, được biết đến với tên gọi TheWizards.
Phân tích cơ sở hạ tầng cho thấy sự trùng lặp giữa DKnife và WizardNet, một phần mềm độc hại dành cho Windows được nhóm TheWizards sử dụng và phân phối thông qua khung phần mềm AitM có tên Spellbinder, được công khai vào tháng 4 năm 2025. Những mối liên hệ này rất quan trọng vì nhóm TheWizards được biết đến là đang nhắm mục tiêu vào các cá nhân và các tổ chức liên quan đến cờ bạc trên khắp Campuchia, Hồng Kông, Trung Quốc đại lục, Philippines và Các Tiểu vương quốc Ả Rập Thống nhất.
Một kiến trúc mô-đun tập trung vào Linux
Khác với WizardNet, DKnife được thiết kế đặc biệt cho môi trường dựa trên Linux, do đó rất phù hợp để triển khai trên bộ định tuyến và các thiết bị biên. Khung phần mềm này được phân phối thông qua trình tải xuống ELF và sử dụng thiết kế mô-đun cho phép người vận hành lựa chọn kích hoạt các khả năng từ chuyển tiếp gói tin đến chặn và thao tác lưu lượng truy cập hoàn toàn.
Các thành phần của khung DKnife
- dknife.bin – Mô-đun cốt lõi chịu trách nhiệm kiểm tra gói dữ liệu chuyên sâu, giám sát hoạt động người dùng, chiếm quyền điều khiển DNS và chiếm quyền tải xuống tệp nhị phân.
- postapi.bin – Một máy chủ chuyển tiếp báo cáo nhận dữ liệu thu thập được từ DKnife và chuyển tiếp dữ liệu đó đến các máy chủ C2 từ xa.
- sslmm.bin – Một máy chủ proxy ngược HAProxy đã được sửa đổi, dùng để chấm dứt giao thức TLS, giải mã email và chuyển hướng URL.
- mmdown.bin – Một trình cập nhật kết nối đến máy chủ C2 được mã hóa cứng để tải xuống các tệp APK Android độc hại.
- yitiji.bin – Một chương trình chuyển tiếp gói tin tạo ra giao diện TAP cầu nối trên bộ định tuyến để kẻ tấn công có thể chèn lưu lượng mạng LAN.
- remote.bin – Một máy khách VPN ngang hàng thiết lập các kênh liên lạc với cơ sở hạ tầng C2 từ xa.
- dkupdate.bin – Một mô-đun cập nhật và giám sát đảm bảo tính bền vững và khả dụng của tất cả các thành phần.
Thu thập thông tin đăng nhập thông qua giải mã nội tuyến
DKnife bao gồm chức năng chuyên dụng để đánh cắp thông tin đăng nhập, đặc biệt nhắm mục tiêu vào một nhà cung cấp email lớn của Trung Quốc. Mô-đun sslmm.bin trình bày các chứng chỉ TLS do kẻ tấn công kiểm soát cho máy khách, chấm dứt và giải mã các kết nối POP3 và IMAP, và kiểm tra lưu lượng truy cập văn bản thuần túy thu được để trích xuất tên người dùng và mật khẩu. Thông tin đăng nhập bị đánh cắp được gắn nhãn tương ứng, chuyển đến postapi.bin, và chuyển tiếp đến các máy chủ C2 từ xa để thu thập và phân tích.
Kiểm tra gói dữ liệu chuyên sâu như một công cụ hỗ trợ tấn công
Cốt lõi của hệ thống nằm ở dknife.bin, cho phép kiểm tra gói dữ liệu chuyên sâu và phân tích lưu lượng truy cập theo thời gian thực. Khả năng này cho phép người vận hành chuyển đổi liền mạch giữa giám sát thụ động và các cuộc tấn công chủ động trực tuyến, bao gồm cả việc thay thế các phần mềm hợp pháp được tải xuống bằng các phần mềm độc hại.
Các năng lực vận hành chính
- Phân phối cấu hình C2 được cập nhật cho các biến thể Android và Windows của phần mềm độc hại DarkNimbus.
- Tấn công chiếm quyền điều khiển DNS trên cả IPv4 và IPv6 để chuyển hướng lưu lượng truy cập liên quan đến các tên miền có liên quan đến JD.com.
- Chặn và thay thế các bản cập nhật ứng dụng Android cho các nền tảng tin tức, truyền phát đa phương tiện, chỉnh sửa ảnh, thương mại điện tử, gọi xe, trò chơi và video người lớn của Trung Quốc.
- Chiếm quyền điều khiển Windows và các tệp nhị phân khác để cài đặt phần mềm độc hại ShadowPad thông qua phương pháp tải DLL từ bên ngoài, sau đó tải DarkNimbus.
- Sự gián đoạn liên lạc do phần mềm chống virus và quản lý hệ thống gây ra, bao gồm các sản phẩm của 360 và Tencent.
- Giám sát hành vi người dùng theo thời gian thực, được phân loại theo các hoạt động như nhắn tin, gọi thoại và video, mua sắm, đọc tin tức, tìm kiếm bản đồ, phát trực tuyến, chơi game, hẹn hò, gọi xe và sử dụng email.
Ý nghĩa đối với bảo mật mạng biên
Bộ định tuyến và các thiết bị biên tiếp tục là mục tiêu có giá trị cao trong các chiến dịch xâm nhập có chủ đích và nâng cao. Khi các tác nhân đe dọa ngày càng tập trung vào lớp cơ sở hạ tầng này, việc nắm rõ các công cụ và kỹ thuật mà chúng sử dụng trở nên thiết yếu. Việc lộ diện khung DKnife nhấn mạnh sự trưởng thành của các mối đe dọa AitM hiện đại, kết hợp việc kiểm tra gói dữ liệu chuyên sâu, thao túng lưu lượng truy cập và phân phối phần mềm độc hại được thiết kế riêng để xâm phạm nhiều loại thiết bị trên quy mô lớn.
