Ранее неизвестный фреймворк «adversary-in-the-middle» (AitM), связанный с Китаем и получивший название «DKnife», был обнаружен работающим на сетевых шлюзах, где он перехватывает и манипулирует трафиком во время передачи.
Согласно данным Cisco Talos, фреймворк активен как минимум с 2019 года и продолжает функционировать по состоянию на начало 2026 года. Вместо того чтобы напрямую атаковать конечные точки, DKnife развертывается на периферии сети, предоставляя операторам видимость и контроль над трафиком, проходящим через скомпрометированные устройства.
Исследователи Talos описали его как модульную систему на базе Linux, способную выполнять глубокую проверку пакетов, перехватывать учетные данные и внедрять вредоносный контент.
«Атаки DKnife нацелены на широкий спектр устройств, включая ПК, мобильные устройства и устройства Интернета вещей», — говорится в сообщении в блоге. «Он доставляет и взаимодействует с бэкдорами ShadowPad и DarkNimbus, перехватывая загрузки бинарных файлов и обновления Android-приложений».
Перехват трафика и доставка вредоносного ПО
Исследователи обнаружили, что DKnife состоит из семи компонентов Linux ELF, которые работают совместно для мониторинга и манипулирования сетевым трафиком в режиме реального времени. После развертывания на шлюзе или аналогичном периферийном устройстве фреймворк может проверять незашифрованные и расшифрованные потоки трафика для выборочного изменения ответов перед их достижением предполагаемого получателя.
«Семь имплантов в DKnife служат для функций движка DPI, отчетности данных, обратного прокси для атаки AitM, загрузки вредоносных APK, обновления фреймворка, перенаправления трафика и построения P2P-канала связи с удаленным C2», — сообщили исследователи.
Было замечено, что фреймворк используется для перенаправления законных запросов на обновление программного обеспечения на серверы, контролируемые злоумышленниками, что позволяет доставлять вторичные полезные нагрузки под видом доверенных обновлений. Это позволило злоумышленникам компрометировать нижестоящие системы без необходимости прямого доступа к самим конечным точкам, отметили исследователи.
Помимо перехвата обновлений, фреймворк поддерживает манипулирование DNS, замену бинарных файлов и выборочное перенаправление трафика, предоставляя злоумышленникам контроль над обработкой конкретных запросов.
Признаки указывают на разработку и таргетинг, связанные с Китаем
Несколько аспектов дизайна и работы DKnife указывали на связи с угрозами, связанными с Китаем. Talos идентифицировал данные конфигурации и комментарии к коду, написанные на упрощенном китайском языке, а также логику обработки, адаптированную для китайских почтовых провайдеров и мобильных приложений.
Было также обнаружено, что фреймворк позволяет собирать учетные данные из сервисов, используемых в Китае, что указывает на конкретный таргетинг. Talos подтвердил связь операций DKnife с доставкой семейств вредоносных программ, ранее ассоциировавшихся с активностью, связанной с Китаем, что еще больше укрепляет атрибуцию.
«Основываясь на языке, используемом в коде, конфигурационных файлах и вредоносном ПО ShadowPad, доставленном в ходе кампании, мы с высокой уверенностью полагаем, что этим инструментом управляют злоумышленники, связанные с Китаем», — заявили исследователи, не называя конкретных групп угроз.
Общее происхождение и саботаж обнаружения
Расследование Talos также выявило технические пересечения между DKnife и более ранними фреймворками AitM, использовавшимися в прошлых кампаниях.
«Мы обнаружили связь между DKnife и кампанией по доставке WizardNet, модульного бэкдора, известного тем, что его доставляет другой фреймворк AiTM, Spellbinder, что предполагает общее происхождение разработки или эксплуатации», — сообщили исследователи.
Talos сообщил, что DKnife включает модуль инспекции трафика, который активно вмешивается в работу антивирусных программ и систем управления ПК. Модуль идентифицирует трафик 360 Total Security, проверяя определенные HTTP-заголовки, такие как DPUname и x-360-ver, и сопоставляя известные домены служб. При обнаружении совпадения фреймворк нарушает соединение с помощью специально сформированных TCP reset пакетов.
Было также замечено аналогичное поведение, нацеленное на сервисы Tencent и другие конечные точки управления ПК, что указывает на преднамеренные усилия по ослаблению инструментов безопасности. Для усиления обнаружения Talos предоставил список индикаторов компрометации (IoC), включая хэши файлов, сетевые артефакты и инфраструктуру командно-контрольных серверов (c2), связанные с DKnife. Кроме того, в раскрытии информации были представлены наборы сигнатур ClamAV для обнаружения и блокировки этой угрозы.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
