Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) DKnife AitM Framework

DKnife AitM Framework

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben ein ausgeklügeltes Gateway-Überwachungs- und Adversary-in-the-Middle-Framework (AitM) namens DKnife aufgedeckt, das Bedrohungsakteuren mit China-Nexus zugeschrieben wird und mindestens seit 2019 aktiv ist. Das Framework ist speziell für den Betrieb am Netzwerkrand konzipiert und ermöglicht die verdeckte Überprüfung und Manipulation des Datenverkehrs sowie die Auslieferung von Malware über kompromittierte Router und Edge-Geräte.

Strategische Ausrichtung auf chinesischsprachige Nutzer

DKnife scheint primär chinesischsprachige Nutzer anzusprechen. Diese Einschätzung wird durch mehrere Indikatoren gestützt, darunter Phishing-Seiten, die speziell für chinesische E-Mail-Anbieter entwickelt wurden, Datenexfiltrationsmodule, die auf weit verbreitete chinesische Mobilanwendungen wie WeChat abzielen, und fest im Quellcode verankerte Verweise auf chinesische Mediendomains. Die Forscher weisen jedoch darauf hin, dass diese Schlussfolgerung auf Konfigurationsdateien basiert, die von einem einzigen Command-and-Control-Server (C2) stammen. Dies lässt die Möglichkeit offen, dass parallele Infrastrukturen für andere Regionen existieren.

Verbindungen zu umfassenderen, mit China verbündeten Bedrohungsaktivitäten

Das Framework wurde im Zuge der Untersuchung eines größeren chinesischen Bedrohungsclusters namens Earth Minotaur entdeckt, der mit dem Exploit-Kit MOONSHINE und der Backdoor DarkNimbus (auch bekannt als DarkNights) in Verbindung gebracht wird. DarkNimbus wurde bemerkenswerterweise auch von einer anderen, mit China verbündeten APT-Gruppe namens TheWizards eingesetzt.

Die Infrastrukturanalyse ergab Überschneidungen zwischen DKnife und WizardNet, einem Windows-Implantat, das von TheWizards verwendet und über ein AitM-Framework namens Spellbinder verbreitet wird und im April 2025 öffentlich dokumentiert wurde. Diese Verbindungen sind bedeutsam, da TheWizards bekanntermaßen Einzelpersonen und Unternehmen der Glücksspielbranche in Kambodscha, Hongkong, Festlandchina, den Philippinen und den Vereinigten Arabischen Emiraten ins Visier nimmt.

Eine Linux-zentrierte, modulare Architektur

Im Gegensatz zu WizardNet ist DKnife speziell für Linux-basierte Umgebungen entwickelt und eignet sich daher ideal für den Einsatz auf Routern und Edge-Geräten. Das Framework wird über einen ELF-Downloader bereitgestellt und verwendet ein modulares Design, das es Anwendern ermöglicht, Funktionen von der Paketweiterleitung bis hin zur vollständigen Überwachung und Manipulation des Datenverkehrs selektiv zu aktivieren.

DKnife-Framework-Komponenten

  • dknife.bin – Das Kernmodul, das für die detaillierte Paketprüfung, die Überwachung der Benutzeraktivitäten, das DNS-Hijacking und das Hijacking von Binärdownloads zuständig ist.
  • postapi.bin – Ein Reporting-Relay, das von DKnife erfasste Daten empfängt und an entfernte C2-Server weiterleitet.
  • sslmm.bin – Ein modifizierter HAProxy-Reverse-Proxy, der für TLS-Terminierung, E-Mail-Entschlüsselung und URL-Umleitung verwendet wird
  • mmdown.bin – Ein Updater, der sich mit einem fest codierten C2-Server verbindet, um schädliche Android-APKs abzurufen.
  • yitiji.bin – Ein Paketweiterleitungsdienst, der eine gebrückte TAP-Schnittstelle auf dem Router für vom Angreifer eingeschleusten LAN-Datenverkehr erstellt.
  • remote.bin – Ein Peer-to-Peer-VPN-Client, der Kommunikationskanäle mit entfernten C2-Infrastrukturen herstellt.
  • dkupdate.bin – Ein Aktualisierungs- und Überwachungsmodul, das die Beständigkeit und Verfügbarkeit aller Komponenten sicherstellt.

    • Abgreifen von Zugangsdaten durch Inline-Entschlüsselung

    DKnife verfügt über spezielle Funktionen zum Diebstahl von Zugangsdaten, insbesondere für einen großen chinesischen E-Mail-Anbieter. Das Modul sslmm.bin präsentiert Clients vom Angreifer kontrollierte TLS-Zertifikate, beendet und entschlüsselt POP3- und IMAP-Verbindungen und analysiert den resultierenden Klartextverkehr, um Benutzernamen und Passwörter zu extrahieren. Die gesammelten Zugangsdaten werden entsprechend gekennzeichnet, an postapi.bin übergeben und zur Sammlung und Analyse an entfernte C2-Server weitergeleitet.

    Deep Packet Inspection als Angriffsermöglicher

    Kernstück des Frameworks ist dknife.bin, das umfassende Deep Packet Inspection und Echtzeit-Verkehrsanalyse ermöglicht. Diese Funktion erlaubt es Betreibern, nahtlos zwischen passiver Überwachung und aktiven Inline-Angriffen zu wechseln, einschließlich des Austauschs legitimer Software-Downloads durch Schadsoftware.

    Wichtigste operative Fähigkeiten

    • Verbreitung aktualisierter C2-Konfigurationen an Android- und Windows-Varianten der DarkNimbus-Malware
    • DNS-basiertes Hijacking über IPv4 und IPv6 zur Umleitung des Datenverkehrs im Zusammenhang mit JD.com-Domains
    • Abfangen und Ersetzen von Android-Anwendungsupdates für chinesische Nachrichten-, Streaming-Medien-, Bildbearbeitungs-, E-Commerce-, Fahrdienst-, Spiele- und Erwachsenenvideo-Plattformen
    • Abfangen von Windows- und anderen Binärdownloads, um die ShadowPad-Hintertür über DLL-Sideloading einzuschleusen und anschließend DarkNimbus zu laden.
    • Störungen der Kommunikation durch Antiviren- und Systemverwaltungssoftware, einschließlich Produkte von 360 und Tencent
    • Echtzeitüberwachung des Nutzerverhaltens, kategorisiert nach Aktivitäten wie Messaging, Sprach- und Videoanrufe, Shopping, Nachrichtenkonsum, Kartensuche, Streaming, Gaming, Dating, Mitfahrgelegenheiten und E-Mail-Nutzung

    Auswirkungen auf die Sicherheit am Netzwerkrand

    Router und Edge-Geräte bleiben begehrte Ziele in hochentwickelten, gezielten Angriffskampagnen. Da sich Angreifer zunehmend auf diese Infrastrukturebene konzentrieren, ist Transparenz über die von ihnen eingesetzten Tools und Techniken unerlässlich. Die Offenlegung des DKnife-Frameworks unterstreicht die Reife moderner AitM-Bedrohungen, die Deep Packet Inspection, Traffic-Manipulation und die gezielte Auslieferung von Malware kombinieren, um eine Vielzahl von Gerätetypen in großem Umfang zu kompromittieren.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...