TokyoBlackHatNews

bleepingcomputer.com 5分で読了

DKnife Linuxツールキットがルーターのトラフィックを乗っ取り、スパイ行為やマルウェア配布を実行

Image

DKnifeと呼ばれる新たに発見されたツールキットが、2019年以降、エッジデバイスレベルでトラフィックを乗っ取り、諜報キャンペーンでマルウェアを配布するために使用されてきました。

このフレームワークは、トラフィック監視およびアドバーサリー・イン・ザ・ミドル(AitM)活動のための侵害後フレームワークとして機能します。ネットワーク上のエンドポイント(コンピューター、モバイル端末、IoT)宛てのトラフィックを傍受し、操作するよう設計されています。

Cisco Talosの研究者によると、DKnifeはELFフレームワークで、ディープパケットインスペクション(DPI)、トラフィック操作、認証情報の収集、マルウェア配布を目的とした7つのLinuxベースのコンポーネントで構成されています。

このマルウェアには、コンポーネント名やコードコメントに簡体字中国語の痕跡があり、メールプロバイダー、モバイルアプリ、メディアドメイン、WeChatユーザーなど、中国のサービスを明確に標的としています。

Talosの研究者は、高い確度で、DKnifeのオペレーターは中国に関連する脅威アクターであると評価しています。

Image
DKnifeの7つのコンポーネントとその機能
出典: Cisco Talos

研究者はネットワーク機器がどのように侵害されたかを特定できませんでしたが、DKnifeが、中国の脅威アクターに関連付けられているShadowPadおよびDarkNimbusのバックドアを配布し、それらとやり取りしていることを確認しました。

DKnifeは7つのモジュールで構成され、それぞれがC2サーバーとの通信、トラフィックの中継または改変、悪性トラフィックの発信元の隠蔽に関する特定の活動を担当します:

  • dknife.bin – パケット検査と攻撃ロジックを担当し、攻撃状況やユーザー活動を報告し、収集したデータを送信します
  • postapi.bin – DKnife.binとC2サーバー間の中継コンポーネント
  • sslmm.bin – HAProxyをベースにしたカスタムリバースプロキシサーバー
  • yitiji.bin – ルーター上に仮想Ethernetインターフェース(TAP)を作成し、それをLANにブリッジして攻撃者のトラフィックをルーティングします
  • remote.bin – n2n VPNソフトウェアを使用するピアツーピアVPNクライアント
  • mmdown.bin – Android APKファイル向けのマルウェアダウンローダーおよびアップデーター
  • dkupdate.bin – DKnifeのダウンロード、展開、更新を行うコンポーネント

研究者は今週のレポートで、「[DKnifeの]主要な機能には、バックドア向けの更新用C2としての動作、DNSハイジャック、Androidアプリの更新およびバイナリダウンロードの乗っ取り、ShadowPadおよびDarkNimbusバックドアの配布、セキュリティ製品のトラフィックの選択的な妨害、ユーザー活動の遠隔C2サーバーへの流出が含まれる」と述べています。

インストール後、DKnifeはyitiji.binコンポーネントを使用して、ルーター上のプライベートIPアドレス10.3.3.3にブリッジされたTAPインターフェース(仮想ネットワークデバイス)を作成します。これにより、脅威アクターは、意図されたホストへ転送される途中のネットワークパケットを傍受し、書き換えることが可能になります。

この方法により、DKnifeはネットワーク上のモバイル端末やWindowsシステムに悪意のあるAPKファイルを配布するために使用できます。

Ciscoの研究者は、DKnifeが中国企業の証明書で署名されたWindows向けShadowPadバックドアを投下するのを観測しました。この動作に続いてDarkNimbusバックドアが展開されました。Android端末では、バックドアはDKnifeによって直接配布されます。

DKnife payload delivery mechanism
DKnifeのペイロード配布メカニズム
出典: Cisco Talos

研究者は、DKnifeフレームワークの活動に関連する同一インフラ上で、WizardNetバックドアもホスティングされていたことを発見しました。これはESETの研究者が以前、Spellbinder AitMフレームワークに関連付けていたものです。

ペイロード配布以外にも、DKnifeには次の機能があります:

  • DNSハイジャック
  • Androidアプリ更新の乗っ取り
  • Windowsバイナリの乗っ取り
  • POP3/IMAPの復号による認証情報の収集
  • フィッシングページのホスティング
  • アンチウイルスのトラフィック妨害
  • メッセージングアプリの利用(WeChatおよびSignal)、地図アプリの利用、ニュース閲覧、通話活動、配車サービス、買い物などを含むユーザー活動の監視

Cisco Talosによると、WeChatの活動はより分析的に追跡され、DKnifeは音声通話とビデオ通話、テキストメッセージ、送受信された画像、プラットフォーム上で読まれた記事を監視します。

DKnife's Android update hijacking mechanism
DKnifeのAndroid更新乗っ取りメカニズム
出典: Cisco Talos

ユーザーの活動イベントは、まずDKnifeのコンポーネント間で内部的にルーティングされ、その後、特定のコマンド&コントロール(C2)APIエンドポイントに対するHTTP POSTリクエストを介して流出させられます。

DKnifeはゲートウェイデバイス上に存在し、パケットが通過する際にイベントを報告するため、ユーザー活動を監視し、データをリアルタイムで収集できます。

研究者によると、2026年1月時点でもDKnifeのC2サーバーは稼働しています。Cisco Talosは、この活動に関連する侵害指標(IoC)の完全なセットを公開しました。

翻訳元: https://www.bleepingcomputer.com/news/security/dknife-linux-toolkit-hijacks-router-traffic-to-spy-deliver-malware/

ソース: bleepingcomputer.com
#AiTM(Adversary-in-the-Middle) #Cisco Talos #DarkNimbus #DKnife #DNSハイジャック #ShadowPad #トラフィックハイジャック #マルウェア配布 #ルーター侵害 #中国系脅威アクター

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用