Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

China-Linked DKnife AitM Framework Targets Routers for Traffic Hijacking, Malware Delivery

2 minute de lecture

Mis à jour :

Le cadre DKnife : une menace d’usurpation de trafic et de livraison de malware

Un cadre d’observation de passerelle et d’attaque par intermédiaire (AitM) nommé DKnife, opéré par des acteurs de menace liés à la Chine depuis au moins 2019, a été identifié. Il utilise sept implants basés sur Linux pour l’inspection approfondie des paquets, la manipulation du trafic et la livraison de malware via des routeurs et des appareils périphériques. Les cibles principales semblent être les utilisateurs sinophones, comme en témoignent les pages de phishing pour les services de messagerie chinois et l’exfiltration de données d’applications mobiles populaires comme WeChat.

DKnife a été découvert lors de la surveillance d’un cluster d’activités de menace chinois connu sous le nom d’Earth Minotaur. Il interagit avec les portes dérobées ShadowPad et DarkNimbus en usurpant les téléchargements de binaires et les mises à jour d’applications Android.

Points clés :

  • Objectif : Usurpation de trafic réseau et livraison de malware via des appareils réseau.
  • Acteurs : Liés à la Chine.
  • Période d’activité : Au moins depuis 2019.
  • Technologie : Cadre AitM avec des implants Linux pour l’inspection des paquets et la manipulation du trafic.
  • Cibles : Principalement les utilisateurs sinophones, mais cible également une large gamme d’appareils (PC, mobiles, IoT).
  • Outils associés : ShadowPad, DarkNimbus, MOONSHINE, WizardNet, Spellbinder.

Vulnérabilités et Exploitations (pas de CVE spécifique mentionné pour DKnife lui-même dans l’article) :

  • Usurpation de téléchargements de binaires : Remplacement des téléchargements légitimes par des charges utiles malveillantes, y compris la porte dérobée ShadowPad via le chargement latéral de DLL.
  • Usurpation des mises à jour d’applications Android : Interception des requêtes de mise à jour pour diverses catégories d’applications (actualités, streaming, commerce électronique, jeux, etc.) et remplacement par des versions malveillantes.
  • Usurpation DNS : Redirections malveillantes pour des domaines spécifiques.
  • Collecte d’identifiants : Le module sslmm.bin intercepte et déchiffre les connexions POP3/IMAP pour extraire les noms d’utilisateur et mots de passe des fournisseurs de messagerie chinois.
  • Interférence avec les logiciels de sécurité : Tentatives de brouiller les communications des produits antivirus et de gestion de PC (ex: 360 Total Security, Tencent).

Recommandations :

L’article ne fournit pas de recommandations spécifiques directes pour contrer DKnife, mais il souligne l’importance de :

  • Comprendre les outils et les tactiques des menaces avancées : Les acteurs de menace intensifient leurs efforts pour compromettre l’infrastructure réseau.
  • Protéger les appareils réseau : Les routeurs et les appareils périphériques restent des cibles de choix dans des campagnes d’attaque ciblées sophistiquées.
  • Surveillance continue : La détection de cadres comme DKnife est cruciale pour comprendre les capacités des menaces AitM modernes.

Source

Vous pourriez aimer