DKnife kampány
A Cisco Talos egy nagyon összetett DKnife Adversary-in-the-Middle (AiTM) keretrendszert mutat be, amelyet már legalább 2019 óta használnak és továbbra is aktív parancs-és-vezérlő infrastruktúrával rendelkezik. A DKnife egy többkomponensű, Linux-alapú implantokból álló eszközkészlet, amelyet kifejezetten hálózati átjárók és edge eszközök kompromittálására fejlesztettek ki, ezekkel a támadók képesek mély csomagszintű ellenőrzést és forgalom-manipulációt végezni egy irányított hálózaton belül.
A keretrendszer egyik lényegi eleme, hogy kapcsolódó hálózati forgalmat lehallgatva és módosítva bevigye a rosszindulatú komponenseket különféle célpontokra, például PC-kre, mobil eszközökre és IoT-készülékekre. Ezt úgy éri el, hogy többek között DNS-eltérítést, Android-alkalmazás-frissítések eltérítését és Windows binárisok manipulálását használja, amivel ShadowPad és DarkNimbus backdoorokat juttat el a célrendszerekre.
A DKnife által érintett infrastruktúra alapvetően MitM pozíciót hoz létre a hálózaton, amely lehetővé teszi a támadóknak a forgalom módosítását, rosszindulatú frissítések beszúrását vagy akár hitelesítő adatok begyűjtését anélkül, hogy közvetlenül fertőznék a végpontokat. A jelenlegi vizsgálatok szerint a kampány célzottan kínai nyelvű felhasználókat és szolgáltatásokat érint, és a kódnyelvek, konfigurációfájlok és az által terjesztett backdoorok azt jelzik, hogy Kína-nexus fenyegető csoportokhoz köthető az eszköz fejlesztése és működtetése.
A kutatók infrastruktúrális átfedést fedeztek fel a WizardNet kampánnyal, ami olyan más AiTM-eszközökhöz kapcsolódó tevékenység, amelyet korábban már dokumentáltak, és amely szintén hálózati forgalom manipulációt és backdoor-telepítést használ. Ez arra utal, hogy a DKnife nem egy izolált projekt, hanem egy szélesebb, több kampányon átívelő fejlesztési vagy operatív kör része lehet.
