网络安全研究人员披露了一个名为DKnife的网关监控和中间人攻击框架,该框架自2019年以来一直由中国相关威胁行为者操作。
该框架包含七个基于Linux的植入程序,专门设计用于执行深度数据包检测、操纵流量,并通过路由器和边缘设备投放恶意软件。其主要目标似乎是中文用户,这一评估基于中国邮件服务的凭证收集钓鱼页面、针对微信等流行中国移动应用的数据窃取模块,以及代码中对中国媒体域名的引用。
思科Talos研究员Ashley Shen在周四的报告中指出:"DKnife的攻击目标涵盖广泛的设备,包括个人电脑、移动设备和物联网设备。它通过劫持二进制文件下载和安卓应用更新来投放ShadowPad和DarkNimbus后门程序并与之交互。"
该网络安全公司表示,他们在持续监控另一个代号为Earth Minotaur的中国威胁活动集群时发现了DKnife,该集群与MOONSHINE漏洞利用工具包和DarkNimbus后门程序相关。有趣的是,这个后门程序还被第三个中国相关的高级持续性威胁组织TheWizards使用。
对DKnife基础设施的分析发现了一个托管WizardNet的IP地址,这是TheWizards通过名为Spellbinder的中间人攻击框架部署的Windows植入程序。ESET在2025年4月记录了该工具包的详细信息。
思科表示,对中文用户的针对性攻击基于从单个命令控制服务器获得的配置文件发现,这提出了可能存在其他服务器托管针对不同地区的类似配置的可能性。
鉴于DKnife和WizardNet之间的基础设施连接,这一点非常重要,因为众所周知TheWizards针对柬埔寨、香港、中国大陆、菲律宾和阿联酋的个人和博彩行业。
与WizardNet不同,DKnife专门设计在基于Linux的设备上运行。其模块化架构使操作者能够执行广泛的功能,从数据包分析到流量操纵。通过ELF下载器投放,它包含七个不同的组件:
dknife.bin - 框架的中央神经系统,负责深度数据包检测、用户活动报告、二进制下载劫持和DNS劫持
postapi.bin - 数据报告模块,作为中继接收来自DKnife的流量并向远程命令控制服务器报告
sslmm.bin - 从HAProxy修改的反向代理模块,执行TLS终止、邮件解密和URL重定向
mmdown.bin - 更新模块,连接到硬编码的命令控制服务器下载用于攻击的APK文件
yitiji.bin - 数据包转发模块,在路由器上创建桥接TAP接口来托管和路由攻击者注入的局域网流量
remote.bin - 点对点VPN客户端模块,创建到远程命令控制服务器的通信通道
dkupdate.bin - 更新和看门狗模块,保持各种组件的运行状态
Talos表示:"DKnife可以从主要中国邮件提供商收集凭证,并为其他服务托管钓鱼页面。对于邮件凭证收集,sslmm.bin组件向客户端出示自己的TLS证书,终止并解密POP3/IMAP连接,检查明文流以提取用户名和密码。"
"提取的凭证被标记为'PASSWORD',转发给postapi.bin组件,最终中继到远程命令控制服务器。"
框架的核心组件是"dknife.bin",负责深度数据包检测,允许操作者进行从"用户活动的隐蔽监控到用恶意载荷替换合法下载的主动在线攻击"等流量监控活动。这包括:
为DarkNimbus恶意软件的安卓和Windows变种提供更新的命令控制服务器
通过IPv4和IPv6进行基于域名系统的劫持,为京东相关域名提供恶意重定向
通过拦截更新清单请求,劫持和替换与中国新闻媒体、视频流媒体、图像编辑应用、电商平台、出租车服务平台、游戏和色情视频流媒体应用相关的安卓应用更新
根据某些预配置规则劫击Windows和其他二进制下载,通过DLL旁加载投放ShadowPad后门程序,然后加载DarkNimbus
干扰来自杀毒软件和PC管理产品的通信,包括360安全卫士和腾讯服务
实时监控用户活动并将其报告回命令控制服务器
Talos表示:"路由器和边缘设备仍然是复杂针对性攻击活动的主要目标。随着威胁行为者加强对这些基础设施的攻击努力,了解他们使用的工具和战术技术程序至关重要。DKnife框架的发现突显了现代中间人攻击威胁的先进能力,它们将深度数据包检测、流量操纵和跨广泛设备类型的定制恶意软件投放融为一体。"
Q&A
Q1:DKnife框架是什么,它有什么主要功能?
A:DKnife是一个由中国相关威胁行为者操作的网关监控和中间人攻击框架,包含七个基于Linux的植入程序。它的主要功能包括深度数据包检测、流量操纵、恶意软件投放、DNS劫持、应用更新替换等,主要针对路由器和边缘设备进行攻击。
Q2:DKnife框架主要针对哪些用户和设备?
A:DKnife框架主要针对中文用户,攻击目标涵盖个人电脑、移动设备和物联网设备。它特别关注中国邮件服务、微信等中国移动应用,以及中国新闻媒体、电商平台、游戏应用等。
Q3:DKnife如何进行恶意攻击活动?
A:DKnife通过七个不同组件协同工作,可以劫持二进制文件下载和安卓应用更新来投放ShadowPad和DarkNimbus后门程序,收集邮件凭证,进行DNS劫持和流量重定向,实时监控用户活动并将信息传回命令控制服务器。
