複数ライセンス割引見積
脅威データベース 高度な持続的脅威 (APT) DKnife AitMフレームワーク

DKnife AitMフレームワーク

高度な持続的脅威 (APT), マルウェアMezoまで
翻訳内容:

サイバーセキュリティ研究者らは、DKnifeと呼ばれる高度なゲートウェイ監視および中間者攻撃(AitM)フレームワークを明らかにしました。これは中国関連の脅威アクターによるものとされ、少なくとも2019年から活動しています。このフレームワークは、ネットワークエッジで動作するように特別に構築されており、侵害されたルーターやエッジデバイスを通じて、秘密裏にトラフィックの検査、操作、マルウェアの配信を可能にします。

中国語圏ユーザーへの戦略的ターゲティング

DKnifeは主に中国語圏のユーザーを標的としているようです。この推測は、中国のメールプロバイダー向けにカスタマイズされたフィッシングページ、WeChatなどの広く使用されている中国製モバイルアプリに特化したデータ窃取モジュール、ソースコード内にハードコードされた中国のメディアドメインへの参照など、複数の指標によって裏付けられています。ただし、研究者らは、この結論は単一のコマンドアンドコントロール(C2)サーバーから取得した設定ファイルに基づいており、他の地域向けにカスタマイズされたインフラストラクチャが並行して存在する可能性もあると警告しています。

中国と連携した広範な脅威活動とのつながり

このフレームワークは、「Earth Minotaur」として追跡されている中国の広範な脅威クラスターの調査中に発見されました。このクラスターは、MOONSHINEエクスプロイトキットとDarkNimbus(別名DarkNights)バックドアと関連付けられています。注目すべきことに、DarkNimbusは、中国と連携する別の高度持続的脅威グループ「TheWizards」によっても利用されています。

インフラストラクチャ分析により、DKnifeとWizardNetの間に重複があることが明らかになりました。WizardNetはTheWizardsが使用するWindowsインプラントで、2025年4月に公開されたSpellbinderと呼ばれるAitMフレームワークを介して配信されます。TheWizardsがカンボジア、香港、中国本土、フィリピン、アラブ首長国連邦の個人やギャンブル関連団体を標的にしていることが知られていることを考えると、これらの関連性は重要です。

Linuxに特化したモジュラーアーキテクチャ

WizardNetとは異なり、DKnifeはLinuxベースの環境に特化して設計されているため、ルーターやエッジデバイスへの導入に適しています。このフレームワークはELFダウンローダーを介して提供され、モジュール設計を採用しているため、オペレーターはパケット転送から完全なトラフィック傍受・操作まで、さまざまな機能を選択的に有効化できます。

DKnife フレームワーク コンポーネント

  • dknife.bin – ディープパケットインスペクション、ユーザーアクティビティ監視、DNSハイジャック、バイナリダウンロードハイジャックを担当するコアモジュール
  • postapi.bin – DKnifeから収集したデータを受信し、リモートC2サーバーに転送するレポートリレー
  • sslmm.bin – TLS終端、電子メールの復号化、URLリダイレクトに使用される、修正されたHAProxyリバースプロキシ
  • mmdown.bin – ハードコードされたC2サーバーに接続して悪意のあるAndroid APKを取得するアップデータ
  • yitiji.bin – 攻撃者が注入したLANトラフィックのためにルータ上にブリッジTAPインターフェースを作成するパケットフォワーダー
  • remote.bin – リモートC2インフラストラクチャとの通信チャネルを確立するピアツーピアVPNクライアント
  • dkupdate.bin – すべてのコンポーネントの永続性と可用性を保証するアップデータおよびウォッチドッグモジュール

    • インライン復号による認証情報の収集

    DKnifeには、特に中国の大手メールプロバイダーを標的とした認証情報窃取専用の機能が搭載されています。sslmm.binモジュールは、攻撃者が管理するTLS証明書をクライアントに提示し、POP3およびIMAP接続を終了・復号し、結果として得られる平文トラフィックを検査してユーザー名とパスワードを抽出します。収集された認証情報は適切なラベルが付けられ、postapi.binに渡され、収集・分析のためにリモートC2サーバーに中継されます。

    攻撃を可能にするディープ・パケット・インスペクション

    このフレームワークの中核を成すdknife.binは、広範なディープ・パケット・インスペクションとリアルタイムのトラフィック分析を可能にします。この機能により、オペレーターはパッシブな監視とアクティブなインライン攻撃(正規のソフトウェアダウンロードを悪意のあるペイロードに置き換える攻撃を含む)をシームレスに切り替えることができます。

    主要な運用能力

    • DarkNimbusマルウェアのAndroidおよびWindows亜種への更新されたC2構成の配布
    • JD.com関連のドメインに関連するトラフィックをリダイレクトするための、IPv4とIPv6の両方を介したDNSベースのハイジャック
    • 中国のニュース、ストリーミングメディア、画像編集、電子商取引、配車サービス、ゲーム、アダルトビデオプラットフォームのAndroidアプリケーションアップデートの傍受と置き換え
    • Windowsやその他のバイナリダウンロードをハイジャックし、DLLサイドローディングを介してShadowPadバックドアを配信し、その後DarkNimbusをロードする
    • 360やテンセントの製品を含むウイルス対策ソフトウェアやシステム管理ソフトウェアからの通信の中断
    • メッセージング、音声通話やビデオ通話、ショッピング、ニュース視聴、地図検索、ストリーミング、ゲーム、デート、ライドシェア、メール使用などのアクティビティに分類されたユーザー行動のリアルタイム監視

    ネットワークエッジセキュリティへの影響

    ルーターとエッジデバイスは、高度な標的型侵入キャンペーンにおいて、依然として重要な標的となっています。脅威アクターがこのインフラストラクチャ層にますます重点を置くようになるにつれ、彼らが使用するツールと手法の可視化が不可欠になっています。DKnifeフレームワークの公開は、ディープ・パケット・インスペクション、トラフィック操作、そしてカスタマイズされたマルウェア配信を組み合わせ、多種多様なデバイスを大規模に侵害する、現代のAitM脅威の成熟度を浮き彫りにしています。

    トレンド

    AISURU/Kimwolf ボットネット

    ボットネット, 高度な持続的脅威 (APT)
    AISURU/Kimwolfとして追跡されている分散型サービス拒否(DDoS)ボットネットは、ピーク時31.4テラビット/秒(Tbps)という前例のない攻撃に関与していたことが判明しました。極めて激しい攻撃であったにもかかわらず、攻撃時間はわずか35秒と短時間でした。このインシデントは2025年11月に発生し、現在までに観測された最大のDDoS攻撃として記録されています。 ハイパーボリュームHTTP攻撃の増加 セキュリティ研究者は、この事象が、2025年第4四半期にAISURU/Kimwolfによって引き起こされたハイパーボリュームHTTP DDoS活動の広範な急増の一部であると特定しま...

    Taqw ランサムウェア

    ランサムウェア
    Taqw はランサムウェアの一種として分類されており、貴重なデータを暗号化することを主な目的とする強力なマルウェアです。この脅威は、影響を受けるファイルへの正当な所有者アクセスを事実上拒否します。 Taqw ランサムウェアはシステムに侵入し、暗号化プロセスを実行し、被害者のコンピュータ内に存在するすべてのファイルの名前を体系的に変更します。この脅威は、元のファイル名に拡張子「.taqw」を細...

    「起動ディスクがほぼいっぱいです」Macエラー

    問題
    私たちが消費するメディアの品質の向上と、アプリが提供する機能のセットが常に拡大しているため、ディスクドライブが適切に機能するために必要なスペースも大幅に増加しているのは当然です。 Macを起動すると、次のメッセージが表示された警告プロンプトが表示される場合があることは、それほど驚くことではありません。「起動ディスクがほぼいっぱいです。」 Big Surという名前の最新のmacOSアップデート...

    最も見られました

    「プリンタドライバが利用できません」エラーを修正する方法

    問題
    42,023
    プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

    修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

    問題
    32,908
    Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
    画面を共有するとDiscordが黒い画面を表示するスクリーンショット

    画面を共有するとDiscordが黒い画面を表示する

    問題
    32,816
    最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
    読み込んでいます...