Китайские хакеры используют скрытный фреймворк DKnife для тотального наблюдения через роутеры

DKnife обладает широким спектром возможностей. Он выполняет глубокий анализ сетевых пакетов (DPI), перехватывает и подменяет трафик, а также доставляет вредоносное ПО на компьютеры, мобильные телефоны и устройства «Интернета вещей» (IoT). Фреймворк активно используется для распространения известных бэкдоров ShadowPad и DarkNimbus путем подмены загрузок обновлений для Android-приложений и бинарных файлов Windows. Анализ артефактов, включая комментарии в коде и конфигурационных файлах на упрощенном китайском языке, а также нацеливание на китайские сервисы, позволяет с высокой уверенностью утверждать, что за инструментом стоят угрозы, связанные с Китаем.

Особую озабоченность вызывает связь DKnife с другой кампанией, распространяющей модульный бэкдор WizardNet. Этот вредонос известен по атакам с использованием другого AitM-фреймворка под названием Spellbinder. Обнаружение общего сервера управления и идентичных тактик эксплуатации указывает на возможное общее происхождение или оперативную связь между этими инструментами. Следовательно, злоумышленники, вероятно, располагают целым арсеналом взаимосвязанных фреймворков для атак через сетевую инфраструктуру.

Механика атаки: от перехвата до внедрения

DKnife функционирует как комплексная система шлюзового мониторинга. После внедрения в устройство фреймворк состоит из семи ключевых компонентов, которые работают согласованно. Основной модуль "dknife.bin" отвечает за анализ всего проходящего трафика. Он идентифицирует запросы к определенным доменам и сервисам, после чего активирует механизмы атаки.

Одна из главных функций - перехват DNS-запросов. DKnife может подменять IP-адреса, перенаправляя жертв на контролируемые злоумышленниками серверы. Кроме того, фреймворк специализируется на подмене загрузок. Когда пользователь пытается обновить приложение на Android, DKnife перехватывает запрос манифеста и подставляет ответ с ссылкой на вредоносный APK-файл, который хранится на локальном интерфейсе, созданным модулем "yitiji.bin". Аналогичным образом перехватываются загрузки исполняемых файлов (.exe) для Windows, которые подменяются на вредоносные полезные данные (payload), содержащие бэкдоры.

Для обеспечения скрытности DKnife включает функции противодействия средствам защиты. Он активно ищет и блокирует трафик, связанный с антивирусными продуктами, такими как 360 Total Security, а также с некоторыми сервисами Tencent, отправляя сброшенные TCP-пакеты (RST) для разрыва соединений. Параллельно фреймворк ведет тотальный мониторинг активности пользователей. Он отслеживает и отправляет операторам данные о действиях в мессенджерах (WeChat, Signal), поисковых запросах, покупках в интернете, просмотре новостей и даже использовании приложений для знакомств или вызова такси.

Целевая аудитория и инфраструктура

Изначально данные указывают на то, что основными жертвами являются китайскоязычные пользователи. В конфигурациях фреймворка присутствуют правила для сбора учетных данных с популярных в Китае почтовых сервисов, а также для перехвата трафика таких приложений, как WeChat. Однако связь с кампанией WizardNet, которая, по данным ESET, нацеливалась на Филиппины, Камбоджу и ОАЭ, не позволяет исключать более широкий географический охват. Злоумышленники могут использовать разные серверы управления для различных регионов.

Инфраструктура командования и управления (C2) фреймворка остается активной. Модули DKnife настроены на передачу всего собранного массива данных - от перехваченных учетных записей до детальных логов действий пользователей - на удаленные серверы. Для обеспечения устойчивости (persistence) и скрытности фреймворк прописывает свои компоненты в автозагрузку системы ("rc.local") и использует самоподписанные TLS-сертификаты для перехвата зашифрованного трафика.

Выводы и последствия

Обнаружение DKnife подчеркивает растущую тенденцию среди продвинутых угроз (APT) атаковать не конечные устройства, а саму сетевую инфраструктуру. Компрометация роутера предоставляет злоумышленникам беспрецедентный уровень контроля над всем сетевым трафиком, делая атаки крайне скрытными и эффективными. Сочетание в одном инструменте возможностей скрытного наблюдения, подмены трафика и доставки различных вредоносных нагрузок делает его серьезной угрозой.

Эксперты Cisco Talos призывают организации, особенно интернет-провайдеры и компании, управляющие сетевым оборудованием, усилить мониторинг пограничных устройств. Критически важно регулярно обновлять прошивки, проводить аудит конфигураций, отслеживать необычную сетевую активность и применять сегментацию сети для ограничения потенциального ущерба от компрометации одного устройства. Борьба с такими сложными угрозами требует постоянной бдительности и глубокого понимания тактик и инструментов современных киберпреступников.

IPv4

• 110.92.64.117
• 110.92.64.17
• 117.175.185.81
• 210.56.49.72
• 43.132.105.118
• 43.155.62.54
• 47.93.54.134
• 49.89.41.187
• 60.205.148.180
• 61.139.76.99

IPv4 Port Combinations

• 110.185.104.180:8000
• 89.195.5.18:4553

Domains

• ad.scgawj.com

URLs

• http://110.92.64.17/moo.cgi
• http://117.175.185.81:8003/
• http://43.132.205.118:81/app/minibrowser11_rpl.zip
• http://43.155.62.54:81/app/minibrowser11_rpl.zip
• http://47.238.107.83:81/app/minibrowser11_rpl.zip
• http://47.93.54.134:8005/
• http://49.89.41.187:8003/
• https://47.93.54.134:8001/protocol/call-audio
• https://47.93.54.134:8003/
• https://47.93.54.134:8003/protocol/application
• https://47.93.54.134:8003/protocol/attack-result
• https://47.93.54.134:8003/protocol/channel-trigger-log
• https://47.93.54.134:8003/protocol/internet-action
• https://47.93.54.134:8003/protocol/packet-up
• https://47.93.54.134:8003/protocol/target-info
• https://47.93.54.134:8003/protocol/tcp-data
• https://47.93.54.134:8003/protocol/user-account
• https://47.93.54.134:8003/protocol/virtual-id
• https://47.93.54.134:8003/public/bind-ip
• https://49.89.41.187:8001/protocol/target-info
• https://49.89.41.187:8002/
• https://49.89.41.187:8002/protocol/application
• https://49.89.41.187:8002/protocol/tcp-data
• https://49.89.41.187:8002/protocol/virtual-id

SHA256

• 02479ed4eab50844cfb0ffa1fee61a4663e4c1713e5ef496f22e519e2de8b2da
• 08f57ad20eabe6b1f294ff4ac3045a97ae872361944f4fb079964d3801dc7c4d
• 12afe49dfbe38657eb7eaae79f758be5906bc2c35bd160c5baf942bb142794f7
• 17a2dd45f9f57161b4cc40924296c4deab65beea447efb46d3178a9e76815d06
• 17f4f2bda80a4d19c0477165336d5851de1978707286bc5e0f3cef9e7c843ea3
• 1ea6667496eeb94755dafd75cd4755e0efb93c916e52921f66edc5c21c876a82
• 21b995c9df5e54c2f4464c3caa9211dd1db2679add6239e0b5ee79136796a1c8
• 233bdbfadebb532f2730bd965795302bfcd84cb0ccf788c039bac9632b46d957
• 247b739f4098bb31bf1899ceb43144ff39a1473d2f696e595ce7cddfcc3ba816
• 2550aa4c4bc0a020ec4b16973df271b81118a7abea77f77fec2f575a32dc3444
• 290d267bf8da5c0e19c2d4480654ce5de18a54f01d87c7d2916df31e59883bf5
• 2d47e2551fa4daaf5375699a86a06ecbc51943ecf097c4fbcc68a9de136f043a
• 2ebb7ae49b47934e19413f0deaa8c46e1cf791c776c3ed2c15c3a69511455a02
• 3a024b3dea30e1f563a297343b9c1c80d22f1b2f6844091353b52f34b15498e5
• 40ac46a116b65f0450acc2673dc0d973b6df83b6f5260e4cba049f0fd008c9fb
• 43891d3898a54a132d198be47a44a8d4856201fa7a87f3f850432ba9e038893a
• 58d00cc6552b53da178b121851391e74646d636b171ac7c5cbd9350bcfc02f57
• 5ab86388bab3c67f7fe741a1179c20a90acc638db79077a8be9cd89ea8069741
• 5ffbb0996165efbf6797e21ac2dd3ac7370ba766ee7865855c94cda594ae55c0
• 62368f963bfeeef063250198a314fd9bf541794cd86c097c19300765cb617ab9
• 67f28e05f120a28eab40f588abfce7bc7e76d2c7126f5bc93ab0feb74d9b12f5
• 77de39e67354557eed2b61f0bb39128fa67e92da98097f0de9251408c202f22f
• 78a425fca23e709e2abe8ddf182f586b58b5ad5880f97d679b86db9322a304f6
• 7fd78d8a7f635c178b64683e19a7f5a284d1f7cf88a2195f854a21817279fd69
• 94116f358b8efb9b40834609564ae162ba246e40d822d510794ffdda96c85bc5
• 9aeb63685404f3f7432aa349272b887dbe4ddba074fc6eb1ff76e8569fc37a08
• 9d592198b73c45f08b76cdd6c45611a7bccf0f13975f02f2dde779590339e5d9
• 9ed358c8bd05081491f9e6d460dc3c3f4300e52689ea8e8a5b2971d805ff047a
• a0a8f441be5740e7ddb7fc5fcf5a4db7c7e743f68cbc85b2f5ed932d0817fc46
• aee2021cdff5536013368cf5ce14222823c5c0dd6d95074992f78a4ca9fae0be
• b08e83b7467b0ad9d15cab33e21e3db0b5994d918b2c14ca93e6983bd1566085
• c0fbbdec744b46df7ea9ad638b016e1d6ef6554046eabfd75cbd17a9cbe4424b
• c643190784b4b2ad06d1c909e59f4b6164c59128cb69eb20b948f5533a7d1ef7
• ce0530aae6283fa1f82926603eec1f349606d0325d1f6174273d6d5866982f0b
• d39899b079132e3510ef2d3a21e298ce0776d796c87a0f488c482d60dbbfd626
• e35dde281d71e8519493322e5e720fb46f3d32083bdcb2593436c511e5b4b096
• E42bf15159b920cf21b016beadf23c6d96c5698107451f47fc25a324815c3810
• F818c74cbf88bb2a8c79650fb2bdfa6e9a9bd38d58a3433e37756da7d981a130
• f8d01dca76b9028611369b956d9d1a7f89729df01a6a86d46a9db9fdab1decca