详细内容或原文请订阅后点击阅览
自 2019 年以来,DKnife 工具包滥用路由器来监视和传播恶意软件
DKnife 是一款 Linux 工具包,自 2019 年以来一直用于劫持路由器流量并在网络间谍攻击中传播恶意软件。 Cisco Talos 发现了 DKnife,这是一个功能强大的 Linux 工具包,威胁行为者可以用它来监视和控制通过路由器和边缘设备的网络流量。它检查和更改传输中的数据,并在 PC、手机上安装恶意软件,[...]
来源:Security Affairs _恶意软件自 2019 年以来,DKnife 工具包滥用路由器来监视和传播恶意软件
DKnife 是一款 Linux 工具包,自 2019 年以来一直用于劫持路由器流量并在网络间谍攻击中传播恶意软件。
Cisco Talos 发现了 DKnife,这是一个功能强大的 Linux 工具包,威胁行为者可以用它来监视和控制通过路由器和边缘设备的网络流量。它检查和更改传输中的数据,并在电脑、手机和物联网设备上安装恶意软件。
“思科 Talos 发现了“DKnife”,这是一个功能齐全的网关监控和中间对手 (AitM) 框架,由七个基于 Linux 的植入程序组成,这些植入程序执行深度数据包检查、操纵流量并通过路由器和边缘设备传播恶意软件。”阅读 Talos 发布的报告。 “根据工件元数据,DKnife 至少从 2019 年就开始使用,并且命令和控制 (C2) 截至 2026 年 1 月仍然有效。”
DKnife 劫持软件下载和 Android 应用程序更新以传播 ShadowPad 和 DarkNimbus 后门。该工具包专注于中文用户,从中国服务中窃取凭据,并针对流行的中国应用程序。 Talos 研究人员高度肯定地将 DKnife 与与中国有联系的威胁行为者联系起来。
自 2023 年以来,思科 Talos 一直在跟踪 MOONSHINE 漏洞利用工具包和用于提供移动漏洞利用的 DarkNimbus 后门。在分析 DarkNimbus 时,Talos 发现了 DKnife,这是一个网关监控和中间对手工具包,隐藏在从同一 C2 服务器获取的压缩存档中。元数据显示,攻击者至少从 2019 年起就开始使用 DKnife,其基础设施在 2026 年 1 月仍然活跃。在发现托管这两种工具的共享服务器后,Talos 还将 DKnife 与 WizardNet 活动联系起来。 WizardNet 通过 Spellbinder 的流量劫持攻击传递,使用与 DKnife 相同的更新劫持方法、URL 路径和端口,指向共同的开发或操作血统。
DKnife 组件有:
dknife.bin – DPI 和攻击引擎 postapi.bin – 数据报告器 sslmm.bin – 反向代理