Недавно обнаруженный набор инструментов под названием DKnife используется с 2019 года для перехвата трафика на уровне граничных устройств и доставки вредоносного ПО в рамках шпионских кампаний.
Фреймворк служит платформой для пост-компромиссного мониторинга трафика и проведения атак типа «злоумышленник в середине» (AitM). Он предназначен для перехвата и манипулирования трафиком, направленным на конечные точки (компьютеры, мобильные устройства, IoT) в сети.
Исследователи Cisco Talos сообщают, что DKnife представляет собой ELF-фреймворк, состоящий из семи компонентов на базе Linux, предназначенных для глубокой инспекции пакетов (DPI), манипулирования трафиком, сбора учетных данных и доставки вредоносного ПО.
Вредоносное ПО содержит артефакты упрощенного китайского языка в именах компонентов и комментариях к коду, а также явно нацелено на китайские сервисы, такие как почтовые провайдеры, мобильные приложения, медийные домены и пользователи WeChat.
Исследователи Talos с высокой степенью уверенности полагают, что оператором DKnife является киберпреступная группа, связанная с Китаем.
Исследователи не смогли определить, как происходит компрометация сетевого оборудования, но обнаружили, что DKnife доставляет и взаимодействует с бэкдорами ShadowPad и DarkNimbus, оба из которых связаны с китайскими киберпреступными группами.
DKnife состоит из семи модулей, каждый из которых отвечает за конкретные действия, связанные со связью с C2-серверами, ретрансляцией или изменением трафика, а также сокрытием источника вредоносного трафика:
- dknife.bin — отвечает за инспекцию пакетов и логику атаки, а также сообщает о статусе атаки, действиях пользователя и отправляет собранные данные
- postapi.bin — ретрансляционный компонент между DKnife.bin и C2-серверами
- sslmm.bin — пользовательский прокси-сервер, производный от HAProxy
- yitiji.bin — создает виртуальный Ethernet-интерфейс (TAP) на маршрутизаторе и подключает его к ЛВС для маршрутизации трафика злоумышленника
- remote.bin — VPN-клиент peer-to-peer, использующий программное обеспечение n2n VPN
- mmdown.bin — загрузчик и обновлятор вредоносного ПО для файлов Android APK
- dkupdate.bin — компонент для загрузки, развертывания и обновления DKnife
«Ключевые возможности DKnife включают предоставление C2-сервера для обновлений бэкдоров, DNS-угон, угон обновлений Android-приложений и загрузок бинарных файлов, доставку бэкдоров ShadowPad и DarkNimbus, выборочное нарушение работы трафика продуктов безопасности и эксфильтрацию действий пользователя на удаленные C2-серверы», — заявили исследователи в отчете на этой неделе.
После установки DKnife использует свой компонент yitiji.bin для создания бриджированного TAP-интерфейса (виртуального сетевого устройства) на маршрутизаторе по частному IP-адресу 10.3.3.3. Это позволяет злоумышленнику перехватывать и перезаписывать сетевые пакеты во время их передачи к предполагаемому хосту.
Таким образом, DKnife может использоваться для доставки вредоносных APK-файлов на мобильные устройства или системы Windows в сети.
Исследователи Cisco наблюдали, как DKnife разворачивал бэкдор ShadowPad для Windows, подписанный сертификатом китайской фирмы. За этим последовало развертывание бэкдора DarkNimbus. На устройствах Android бэкдор доставляется напрямую DKnife.
На той же инфраструктуре, связанной с активностью фреймворка DKnife, исследователи также обнаружили, что он размещал бэкдор WizardNet, который исследователи ESET ранее связывали с фреймворком Spellbinder AitM.
Помимо доставки полезной нагрузки, DKnife также способен:
- Выполнять DNS-угон
- Угонять обновления Android-приложений
- Угонять бинарные файлы Windows
- Собирать учетные данные путем расшифровки POP3/IMAP
- Размещать фишинговые страницы
- Нарушать работу антивирусного трафика
- Отслеживать действия пользователя, включая использование мессенджеров (WeChat и Signal), карт, потребление новостей, звонки, заказ такси и покупки
Действия в WeChat отслеживаются более аналитически, сообщают в Cisco Talos: DKnife мониторит голосовые и видеозвонки, текстовые сообщения, отправленные и полученные изображения, а также прочитанные статьи на платформе.
События действий пользователя сначала маршрутизируются внутри компонентов DKnife, а затем эксфильтруются через HTTP POST-запросы к конкретным API-конечным точкам командно-контрольной инфраструктуры (C2).
Поскольку DKnife работает на шлюзах и сообщает о событиях по мере прохождения пакетов, он позволяет отслеживать действия пользователя и собирать данные в режиме реального времени.
По состоянию на январь 2026 года C2-серверы DKnife все еще активны, сообщают исследователи. Cisco Talos опубликовала полный набор индикаторов компрометации (IoC), связанных с этой активностью.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
