DKnifeの概要と発見
2019年以降、エッジデバイスレベルのトラフィックをハイジャックし、マルウェアを配信する新たなLinuxツールキット「DKnife」が観測されています。このフレームワークは、トラフィック監視および中間者攻撃(AitM)のためのポスト侵害ツールとして機能します。Cisco Talosの研究者たちは、この脅威がスパイ活動キャンペーンで利用されていることを明らかにしました。
DKnifeの構成要素と特徴
DKnifeは、深層パケット検査(DPI)、トラフィック操作、認証情報収集、マルウェア配信を目的とした7つのLinuxベースのコンポーネントからなるELFフレームワークです。コンポーネント名やコードコメントに簡体字中国語の痕跡が見られ、中国の電子メールプロバイダー、モバイルアプリ、メディアドメイン、WeChatユーザーといった特定の中国サービスを明示的に標的としています。
Cisco Talosは、DKnifeの運用者が中国関連の脅威アクターである可能性が非常に高いと評価しています。
主要コンポーネントとその役割
DKnifeは以下の主要なモジュールで構成されており、それぞれが特定の役割を担っています。
- dknife.bin:パケット検査と攻撃ロジックを担当し、攻撃状況やユーザー活動をC2サーバーに報告します。
- postapi.bin:dknife.binとC2サーバー間のリレーコンポーネントです。
- sslmm.bin:HAProxyから派生したカスタムリバースプロキシサーバーです。
- yitiji.bin:ルータ上に仮想イーサネットインターフェース(TAP)を作成し、LANにブリッジして攻撃者のトラフィックをルーティングします。
- remote.bin:n2n VPNソフトウェアを使用するピアツーピアVPNクライアントです。
- mmdown.bin:Android APKファイルのマルウェアダウンローダーおよびアップデーターです。
- dkupdate.bin:DKnife自身のダウンロード、デプロイ、および更新を管理するコンポーネントです。
攻撃メカニズムと多様な機能
DKnifeは、yitiji.binコンポーネントを使用してルータにブリッジされたTAPインターフェース(プライベートIPアドレス10.3.3.3)を作成します。これにより、脅威アクターはネットワークパケットを傍受・書き換え、意図したホストへの通信中に操作することが可能になります。
この手法を用いて、DKnifeはモバイルデバイスに悪意のあるAPKファイルを、Windowsシステムには中国企業の証明書で署名されたShadowPadバックドア、そしてDarkNimbusバックドアを配信します。また、ESETの研究者がSpellbinder AitMフレームワークと関連付けたWizardNetバックドアも、DKnifeのインフラ上でホストされていたことが確認されています。
DKnifeの主な機能には以下が含まれます。
- バックドアのC2更新機能提供
- DNSハイジャック
- Androidアプリケーションの更新およびバイナリダウンロードのハイジャック
- ShadowPadおよびDarkNimbusバックドアの配信
- セキュリティ製品のトラフィック選択的妨害
- 認証情報収集(POP3/IMAPの復号)
- フィッシングページのホスティング
- 詳細なユーザー活動監視(メッセージングアプリ(WeChat、Signal)、マップアプリ、ニュース消費、通話、配車、ショッピングなど)
特にWeChatに関しては、音声通話、ビデオ通話、テキストメッセージ、送受信された画像、プラットフォーム上で閲覧された記事など、より詳細な活動が追跡されています。
現在の状況と対策
ユーザー活動イベントは、DKnifeのコンポーネント間でルーティングされた後、HTTP POSTリクエストを介して特定のコマンド&コントロール(C2)APIエンドポイントに情報が漏洩されます。DKnifeがゲートウェイデバイスに常駐し、パケット通過時にイベントを報告するため、リアルタイムでのユーザー活動監視とデータ収集が可能です。
Cisco Talosの研究者によると、2026年1月現在もDKnifeのC2サーバーは活動を続けています。Cisco Talosは、この活動に関連する完全な侵害指標(IoC)セットを公開しており、IT管理者はこれらのIoCを監視し、自社のネットワークセキュリティを強化することが喫緊の課題となっています。