🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética eliminaram uma estrutura de monitoramento de gateway e adversário no meio (AitM) chamada DKnife, que é operada por atores de ameaças do nexo da China desde pelo menos 2019.
A estrutura compreende sete implantes baseados em Linux projetados para realizar inspeção profunda de pacotes, manipular tráfego e distribuir malware por meio de roteadores e dispositivos de borda. Seus principais alvos parecem ser usuários de língua chinesa, uma avaliação baseada na presença de páginas de phishing de coleta de credenciais para serviços de e-mail chineses, módulos de exfiltração para aplicativos móveis chineses populares como o WeChat e referências de código para domínios de mídia chineses.
“Os ataques do DKnife têm como alvo uma ampla gama de dispositivos, incluindo PCs, dispositivos móveis e dispositivos de Internet das Coisas (IoT)”, observou Ashley Shen, pesquisadora da Cisco Talos, em um relatório de quinta-feira. "Ele entrega e interage com backdoors ShadowPad e DarkNimbus sequestrando downloads binários e atualizações de aplicativos Android."
A empresa de segurança cibernética disse que descobriu o DKnife como parte de seu monitoramento contínuo de outro cluster de atividades de ameaças chinês, de codinome Earth Minotaur, que está vinculado a ferramentas como o kit de exploração MOONSHINE e o backdoor DarkNimbus (também conhecido como DarkNights). Curiosamente, o backdoor também foi utilizado por um terceiro grupo de ameaças persistentes avançadas (APT) alinhado com a China, chamado TheWizards.
Uma análise da infraestrutura da DKnife descobriu um endereço IP que hospeda o WizardNet, um implante do Windows implantado pela TheWizards por meio de uma estrutura AitM conhecida como Spellbinder. Os detalhes do kit de ferramentas foram documentados pela ESET em abril de 2025.
A segmentação de usuários de língua chinesa, disse a Cisco, depende da descoberta de arquivos de configuração obtidos de um único servidor de comando e controle (C2), levantando a possibilidade de que possa haver outros servidores hospedando configurações semelhantes para diferentes segmentações regionais.
Isto é significativo à luz das conexões infraestruturais entre DKnife e WizardNet, já que TheWizards é conhecido por ter como alvo indivíduos e o setor de jogos de azar no Camboja, Hong Kong, China Continental, Filipinas e Emirados Árabes Unidos.
Funções de sete componentes DKnife
Ao contrário do WizardNet, o DKnife foi projetado para ser executado em dispositivos baseados em Linux. Sua arquitetura modular permite que as operadoras atendam uma ampla gama de funções, desde análise de pacotes até manipulação de tráfego. Fornecido por meio de um downloader ELF, contém sete componentes diferentes -
dknife.bin - O sistema nervoso central da estrutura responsável pela inspeção profunda de pacotes, relatórios de atividades do usuário, sequestro de download binário e sequestro de DNS
postapi.bin - Um módulo repórter de dados que atua como um retransmissor, recebendo tráfego do DKnife e reportando ao C2 remoto
sslmm.bin - Um módulo de proxy reverso modificado do HAProxy que executa encerramento de TLS, descriptografia de e-mail e redirecionamento de URL
mmdown.bin – Um módulo atualizador que se conecta a um servidor C2 codificado para baixar APKs usados para o ataque
yitiji.bin - Um módulo encaminhador de pacotes que cria uma interface TAP em ponte no roteador para hospedar e rotear o tráfego de LAN injetado pelo invasor
remote.bin - Um módulo cliente VPN ponto a ponto (P2P) que cria um canal de comunicação para C2 remoto
dkupdate.bin - Um módulo atualizador e watchdog que mantém os vários componentes ativos
“O DKnife pode coletar credenciais de um grande provedor de e-mail chinês e hospedar páginas de phishing para outros serviços”, disse Talos. "Para coletar credenciais de e-mail, o componente sslmm.bin apresenta seu próprio certificado TLS aos clientes, encerra e descriptografa conexões POP3/IMAP e inspeciona o fluxo de texto simples para extrair nomes de usuário e senhas."
"As credenciais extraídas são marcadas com 'SENHA', encaminhadas para o componente postapi.bin e, por fim, retransmitidas para servidores C2 remotos."
O componente principal da estrutura é “dknife.bin”, que cuida da inspeção profunda de pacotes, permitindo que as operadoras conduzam campanhas de monitoramento de tráfego que vão desde “monitoramento secreto da atividade do usuário até ataques ativos em linha que substituem downloads legítimos por cargas maliciosas”. Isso inclui -
Servindo variantes C2 atualizadas para Android e Windows do malware DarkNimbus
Condução de sequestro baseado em Sistema de Nomes de Domínio (DNS) em IPv4 e IPv6 para facilitar redirecionamentos maliciosos para domínios relacionados a JD.com
Sequestro e substituição de atualizações de aplicativos Android associadas à mídia de notícias chinesa, streaming de vídeo, aplicativos de edição de imagens, plataformas de comércio eletrônico, plataformas de serviço de táxi, jogos e aplicativos de streaming de vídeo pornográfico, interceptando suas solicitações de manifesto de atualização
Sequestrar o Windows e outros downloads binários com base em certas regras pré-configuradas para entregar via DLL carregando lateralmente o backdoor do ShadowPad, que então carrega o DarkNimbus
Interferir nas comunicações de antivírus e produtos de gerenciamento de PC
A estrutura compreende sete implantes baseados em Linux projetados para realizar inspeção profunda de pacotes, manipular tráfego e distribuir malware por meio de roteadores e dispositivos de borda. Seus principais alvos parecem ser usuários de língua chinesa, uma avaliação baseada na presença de páginas de phishing de coleta de credenciais para serviços de e-mail chineses, módulos de exfiltração para aplicativos móveis chineses populares como o WeChat e referências de código para domínios de mídia chineses.
“Os ataques do DKnife têm como alvo uma ampla gama de dispositivos, incluindo PCs, dispositivos móveis e dispositivos de Internet das Coisas (IoT)”, observou Ashley Shen, pesquisadora da Cisco Talos, em um relatório de quinta-feira. "Ele entrega e interage com backdoors ShadowPad e DarkNimbus sequestrando downloads binários e atualizações de aplicativos Android."
A empresa de segurança cibernética disse que descobriu o DKnife como parte de seu monitoramento contínuo de outro cluster de atividades de ameaças chinês, de codinome Earth Minotaur, que está vinculado a ferramentas como o kit de exploração MOONSHINE e o backdoor DarkNimbus (também conhecido como DarkNights). Curiosamente, o backdoor também foi utilizado por um terceiro grupo de ameaças persistentes avançadas (APT) alinhado com a China, chamado TheWizards.
Uma análise da infraestrutura da DKnife descobriu um endereço IP que hospeda o WizardNet, um implante do Windows implantado pela TheWizards por meio de uma estrutura AitM conhecida como Spellbinder. Os detalhes do kit de ferramentas foram documentados pela ESET em abril de 2025.
A segmentação de usuários de língua chinesa, disse a Cisco, depende da descoberta de arquivos de configuração obtidos de um único servidor de comando e controle (C2), levantando a possibilidade de que possa haver outros servidores hospedando configurações semelhantes para diferentes segmentações regionais.
Isto é significativo à luz das conexões infraestruturais entre DKnife e WizardNet, já que TheWizards é conhecido por ter como alvo indivíduos e o setor de jogos de azar no Camboja, Hong Kong, China Continental, Filipinas e Emirados Árabes Unidos.
Funções de sete componentes DKnife
Ao contrário do WizardNet, o DKnife foi projetado para ser executado em dispositivos baseados em Linux. Sua arquitetura modular permite que as operadoras atendam uma ampla gama de funções, desde análise de pacotes até manipulação de tráfego. Fornecido por meio de um downloader ELF, contém sete componentes diferentes -
dknife.bin - O sistema nervoso central da estrutura responsável pela inspeção profunda de pacotes, relatórios de atividades do usuário, sequestro de download binário e sequestro de DNS
postapi.bin - Um módulo repórter de dados que atua como um retransmissor, recebendo tráfego do DKnife e reportando ao C2 remoto
sslmm.bin - Um módulo de proxy reverso modificado do HAProxy que executa encerramento de TLS, descriptografia de e-mail e redirecionamento de URL
mmdown.bin – Um módulo atualizador que se conecta a um servidor C2 codificado para baixar APKs usados para o ataque
yitiji.bin - Um módulo encaminhador de pacotes que cria uma interface TAP em ponte no roteador para hospedar e rotear o tráfego de LAN injetado pelo invasor
remote.bin - Um módulo cliente VPN ponto a ponto (P2P) que cria um canal de comunicação para C2 remoto
dkupdate.bin - Um módulo atualizador e watchdog que mantém os vários componentes ativos
“O DKnife pode coletar credenciais de um grande provedor de e-mail chinês e hospedar páginas de phishing para outros serviços”, disse Talos. "Para coletar credenciais de e-mail, o componente sslmm.bin apresenta seu próprio certificado TLS aos clientes, encerra e descriptografa conexões POP3/IMAP e inspeciona o fluxo de texto simples para extrair nomes de usuário e senhas."
"As credenciais extraídas são marcadas com 'SENHA', encaminhadas para o componente postapi.bin e, por fim, retransmitidas para servidores C2 remotos."
O componente principal da estrutura é “dknife.bin”, que cuida da inspeção profunda de pacotes, permitindo que as operadoras conduzam campanhas de monitoramento de tráfego que vão desde “monitoramento secreto da atividade do usuário até ataques ativos em linha que substituem downloads legítimos por cargas maliciosas”. Isso inclui -
Servindo variantes C2 atualizadas para Android e Windows do malware DarkNimbus
Condução de sequestro baseado em Sistema de Nomes de Domínio (DNS) em IPv4 e IPv6 para facilitar redirecionamentos maliciosos para domínios relacionados a JD.com
Sequestro e substituição de atualizações de aplicativos Android associadas à mídia de notícias chinesa, streaming de vídeo, aplicativos de edição de imagens, plataformas de comércio eletrônico, plataformas de serviço de táxi, jogos e aplicativos de streaming de vídeo pornográfico, interceptando suas solicitações de manifesto de atualização
Sequestrar o Windows e outros downloads binários com base em certas regras pré-configuradas para entregar via DLL carregando lateralmente o backdoor do ShadowPad, que então carrega o DarkNimbus
Interferir nas comunicações de antivírus e produtos de gerenciamento de PC
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #estrutura #dknife #aitm #vinculada #à #china #visa #roteadores #para #sequestro #de #tráfego #e #entrega #de #malware
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário