ルーターやエッジデバイスを含むLinuxベースの機器を標的とする、高度に洗練された攻撃フレームワーク「DKnife」。
このアドバーサリー・イン・ザ・ミドル(AitM)フレームワークは、7つのLinuxベースのインプラントを活用し、攻撃者がネットワークトラフィックを操作し、ディープパケットインスペクション(DPI)を実行し、侵害されたデバイスに悪意あるソフトウェアを配布できるようにします。
DKnifeフレームワークは少なくとも2019年から活動しており、そのコマンド&コントロール(C2)サーバーは2026年1月時点でも稼働しています。
DKnife攻撃の主な標的は、PC、モバイルデバイス、そしてモノのインターネット(IoT)デバイスを含む、幅広いLinuxベースの機器です。このフレームワークは複数のコンポーネントを使用しており、それぞれが特定の機能を実行するよう設計されています。
最も注目すべき機能には、AndroidおよびWindowsのアプリケーション更新の乗っ取りや、ShadowPadやDarkNimbusのようなバックドアの配布が含まれます。これらのバックドアは、リモートアクセスの確立や機密情報の窃取に使用されます。
DKnifeは他のサイバーキャンペーンとも重要な関連があります。Talosが発見した最も重要なリンクの一つは、DKnifeとWizardNetバックドアの関連で、WizardNetは以前、Spellbinderと呼ばれる別のAitMフレームワークに結び付けられていました。
この共有インフラは、両フレームワーク間に運用上または開発上のつながりがある可能性を示しています。
DKnifeの最も際立った特徴の一つは、中国語話者ユーザーに対する標的型アプローチです。この標的化の証拠には、中国語サービスの認証情報の収集や、WeChatなどの人気の中国モバイルアプリケーションからのデータ流出が含まれます。
さらに、DKnifeで見つかった設定ファイルには中国のメディアドメインへの参照が含まれており、中国に関連する脅威アクターがこのツールを運用している可能性が高いことを裏付けています。
証拠の大半は中国の標的を示していますが、DKnifeキャンペーンの一部、特にWizardNetバックドアに関連するものは、フィリピン、カンボジア、UAEなど中国以外の国々にも影響を及ぼす、より広い地域規模でアクターが活動している可能性を示唆している点は注目に値します。
DKnifeフレームワークは、攻撃を実行するためにディープパケットインスペクションに大きく依存しています。デバイスが侵害されると、DKnifeはトラフィックをリアルタイムで監視し、DNSハイジャックを実行できます。
このハイジャックにより、攻撃者はトラフィックをリダイレクトし、侵害されたデバイスと正規のウェブサイト間の通信を操作できます。
例えば、DKnifeはAndroidアプリケーションの更新要求を傍受できます。ユーザーのデバイスが更新を要求すると、DKnifeはマニフェストを乗っ取り、悪意あるダウンロードに置き換えることで、最終的にデバイスへバックドアを送り込みます。
この手法は、被害者から見ると正規の更新をダウンロードしているように見えるため、非常に効果的です。
Talos Intelligenceは述べており、DKnifeの能力はWindowsのバイナリダウンロードの乗っ取りにも及びます。ダウンロードURLを操作し、正規のソフトウェアインストーラーを悪意あるものに置き換えたり、マルウェアが仕込まれたサイトへリダイレクトしたりすることで、被害者のシステムにマルウェアを注入できることが示されています。
これらのコンポーネントが組み合わさることで、トラフィックの乗っ取り、マルウェアの配布、そして価値の高いユーザーデータの抽出が可能な、非常に効率的な攻撃プラットフォームが形成されます。
DNS操作とAndroidアプリケーション更新の乗っ取りを通じて、DKnifeは個人ユーザーと組織の双方を標的にし、バックドアを密かに配布して機密情報を侵害できます。
DKnifeの発見は、サイバー攻撃における新たな高度化のレベルを明らかにしました。そこでは、攻撃者がディープパケットインスペクション、トラフィック操作、そしてカスタムマルウェア配布を活用してネットワーク機器を侵害します。
これらの脅威が進化するにつれ、ルーター、エッジデバイス、その他のネットワークインフラは、検知と緩和のために綿密に監視されなければならないことが明確です。
翻訳元: https://cyberpress.org/china-apt-hijacks-linux-devices/