サイバーニュース.jp

世界のサイバーなニュースを配信

中国関連の「DKnife」AitMフレームワーク、ルーターを標的にトラフィック乗っ取りとマルウェア配信を実行

カテゴリ:

イントロダクション:DKnifeの概要、標的、運用者

サイバーセキュリティ研究者たちは、少なくとも2019年から中国関連の脅威アクターによって運用されている、ゲートウェイ監視および中間者攻撃(AitM)フレームワーク「DKnife」の詳細を明らかにしました。このフレームワークは、7つのLinuxベースのインプラントで構成されており、ルーターやエッジデバイスを介してディープパケットインスペクショントラフィック操作、およびマルウェア配信を行うように設計されています。

主な標的は、中国語を話すユーザーであると見られています。これは、中国の電子メールサービスの認証情報収集用フィッシングページ、WeChatのような人気の中国製モバイルアプリケーションのデータ引き出しモジュール、および中国メディアドメインへのコード参照に基づいて評価されたものです。

DKnifeの発見と関連性

Cisco Talosの研究者であるアシュリー・シェン氏は、別の中国の脅威活動クラスター「Earth Minotaur」(MOONSHINEエクスプロイトキットやDarkNimbusバックドアに関連)の継続的な監視の一環として、DKnifeを発見したと報告しています。興味深いことに、このバックドアは、TheWizardsという第三の中国系APTグループによっても利用されています。DKnifeのインフラ分析により、TheWizardsが「Spellbinder」と呼ばれるAitMフレームワークを介して展開したWindowsインプラントであるWizardNetをホストするIPアドレスが特定されました。

Ciscoは、中国語を話すユーザーの標的は、単一のコマンド&コントロール(C2)サーバーから取得された設定ファイルに基づいていると述べており、異なる地域を標的とした同様の構成をホストする他のサーバーが存在する可能性を示唆しています。TheWizardsは、カンボジア、香港、中国本土、フィリピン、アラブ首長国連邦の個人やギャンブル業界を標的としていることが知られています。

DKnifeの構成要素とその機能

WizardNetとは異なり、DKnifeはLinuxベースのデバイス上で動作するように設計されています。そのモジュール式のアーキテクチャにより、パケット分析からトラフィック操作まで、幅広い機能を実現します。ELFダウンローダーによって配信され、以下の7つのコンポーネントで構成されています。

  • dknife.bin:フレームワークの中枢神経系であり、ディープパケットインスペクション、ユーザー活動の報告、バイナリダウンロードのハイジャック、DNSハイジャックを担当します。
  • postapi.bin:データ報告モジュールで、DKnifeからのトラフィックを中継し、リモートC2に報告します。
  • sslmm.bin:HAProxyを改変したリバースプロキシモジュールで、TLS終端、電子メールの復号化、URLのリルーティングを実行します。特に、電子メール認証情報を収集するために、POP3/IMAP接続を終端および復号し、プレーンテキストストリームからユーザー名とパスワードを抽出します。
  • mmdown.bin:アップデーターモジュールで、ハードコードされたC2サーバーに接続して、攻撃に使用されるAPKをダウンロードします。
  • yitiji.bin:パケットフォワーダーモジュールで、ルーター上にブリッジされたTAPインターフェースを作成し、攻撃者が注入したLANトラフィックをホストおよびルーティングします。
  • remote.bin:ピアツーピア(P2P)VPNクライアントモジュールで、リモートC2への通信チャネルを作成します。
  • dkupdate.bin:アップデーターおよびウォッチドッグモジュールで、さまざまなコンポーネントを維持します。

主要コンポーネント「dknife.bin」の詳細機能

フレームワークの主要コンポーネントである「dknife.bin」は、ディープパケットインスペクションを担当し、オペレーターが広範なトラフィック監視キャンペーンを実施することを可能にします。これには、ユーザー活動の隠密監視から、正規のダウンロードを悪意のあるペイロードに置き換えるアクティブなインライン攻撃までが含まれます。

具体的には、以下の機能が確認されています。

  • AndroidおよびWindows版のDarkNimbusマルウェアに更新されたC2を配信する。
  • JD.com関連ドメインの悪意のあるリダイレクトを容易にするため、IPv4およびIPv6を介したDNSベースのハイジャックを実行する。
  • 中国のニュースメディア、ビデオストリーミング、画像編集アプリ、Eコマースプラットフォーム、タクシーサービスプラットフォーム、ゲーム、ポルノビデオストリーミングアプリに関連するAndroidアプリケーションのアップデートマニフェスト要求を傍受し、ハイジャックおよび置き換える。
  • 特定の事前設定されたルールに基づいてWindowsおよびその他のバイナリダウンロードをハイジャックし、DLLサイドローディングを介してShadowPadバックドアを配信し、それがさらにDarkNimbusをロードする。
  • 360 Total SecurityやTencentサービスを含むアンチウイルスおよびPC管理製品からの通信を妨害する。
  • ユーザーのアクティビティをリアルタイムで監視し、C2サーバーに報告する。これには、メッセージング(音声/ビデオ通話、送信テキスト、受信画像、SignalおよびWeChatのアプリ内記事閲覧を含む)、ショッピング、ニュース消費、地図検索、ビデオストリーミング、ゲーム、デート、タクシーおよびライドシェアのリクエスト、電子メールの確認などが広範なカテゴリに分類される。

サイバーセキュリティへの影響

Cisco Talosは、「ルーターとエッジデバイスは、洗練された標的型攻撃キャンペーンにおいて引き続き主要な標的です」と述べています。「脅威アクターがこのインフラを侵害する努力を強化するにつれて、彼らが採用するツールとTTP(戦術、技術、手順)を理解することが極めて重要です。DKnifeフレームワークの発見は、ディープパケットインスペクショントラフィック操作、および幅広いデバイスタイプにわたるカスタマイズされたマルウェア配信を融合させた、現代のAitM脅威の高度な能力を浮き彫りにしています。」

元記事: https://thehackernews.com/2026/02/china-linked-dknife-aitm-framework.html

投稿をさらに読み込む