China-Linked DKnife AitM Framework Targets Routers for Traffic Hijacking, Malware Delivery

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับ DKnife ซึ่งเป็นเฟรมเวิร์กในการเฝ้าระวังเกตเวย์และทำการโจมตีแบบ Adversary-in-the-Middle (AitM) ที่ดำเนินการโดยกลุ่มแฮกเกอร์ที่เชื่อมโยงกับประเทศจีนตั้งแต่ปี 2019 เฟรมเวิร์กที่ใช้ Linux นี้จะติดตั้งมัลแวร์ในระดับเราเตอร์เพื่อทำการตรวจสอบแพ็กเก็ตข้อมูลเชิงลึก (deep packet inspection) ดักจับและปรับเปลี่ยนการรับส่งข้อมูล และส่งมัลแวร์ประเภท ShadowPad และ DarkNimbus เป้าหมายหลักคือผู้ใช้งานที่พูดภาษาจีน โดยมีการขโมยข้อมูลรับรอง (credentials) จากบริการอีเมลจีน ดักจับการอัปเดตแอปพลิเคชันมือถือยอดนิยมของจีน และแทนที่ไฟล์ติดตั้ง Windows การโจมตีนี้มีความเชื่อมโยงกับกลุ่มภัยคุกคามอื่น ๆ เช่น Earth Minotaur และ TheWizards ซึ่งแสดงให้เห็นถึงความซับซ้อนและต่อเนื่องของแคมเปญโจมตีเราเตอร์เหล่านี้

Severity: วิกฤต

System Impact:

• เราเตอร์ (Routers)
• อุปกรณ์ Edge Device ที่ใช้ Linux
• คอมพิวเตอร์ส่วนบุคคล (PCs)
• อุปกรณ์มือถือ (Mobile Devices) โดยเฉพาะ Android
• อุปกรณ์ Internet of Things (IoT)
• บริการอีเมลของจีน (สำหรับการขโมยข้อมูลรับรอง)
• แอปพลิเคชันมือถือของจีนยอดนิยม (เช่น WeChat, แอปข่าว, สตรีมมิ่งวิดีโอ, แต่งภาพ, อีคอมเมิร์ซ, แท็กซี่, เกม, สตรีมมิ่งวิดีโออนาจาร) สำหรับการดักจับและแทนที่การอัปเดต
• ระบบปฏิบัติการ Windows (สำหรับการดักจับการดาวน์โหลดไฟล์ไบนารี)
• ผลิตภัณฑ์ Antivirus และการจัดการ PC (เช่น 360 Total Security, Tencent services)

Technical Attack Steps:

1. การบุกรุกเริ่มต้น: ผู้โจมตีทำการบุกรุกเราเตอร์และอุปกรณ์ Edge Device
2. การติดตั้งเฟรมเวิร์ก: DKnife ซึ่งเป็นเฟรมเวิร์กที่มีคอมโพเนนต์ Linux-based เจ็ดตัว (เช่น dknife.bin, sslmm.bin) ถูกติดตั้งบนอุปกรณ์ที่ถูกบุกรุกผ่าน ELF downloader
3. การตรวจสอบแพ็กเก็ตเชิงลึก (dknife.bin): คอมโพเนนต์หลักทำการตรวจสอบแพ็กเก็ตข้อมูลเพื่อติดตามกิจกรรมผู้ใช้และการรับส่งข้อมูล
4. การดัดแปลงการรับส่งข้อมูล: รวมถึงการ hijack DNS (IPv4/IPv6 สำหรับโดเมนที่เกี่ยวข้องกับ JD.com), การเปลี่ยนเส้นทาง URL (sslmm.bin) และการสร้าง bridged TAP interface (yitiji.bin) บนเราเตอร์เพื่อแทรกการรับส่งข้อมูล LAN
5. การขโมยข้อมูลรับรอง (sslmm.bin): คอมโพเนนต์ sslmm.bin จะนำเสนอใบรับรอง TLS ของตัวเอง, สิ้นสุดและถอดรหัสการเชื่อมต่อ POP3/IMAP, และตรวจสอบข้อมูลแบบ plaintext เพื่อดึงชื่อผู้ใช้และรหัสผ่านจากผู้ให้บริการอีเมลจีนที่สำคัญ ข้อมูลที่ถูกขโมยจะถูกส่งไปยัง C2 ผ่าน postapi.bin
6. การส่งมัลแวร์/การ hijack การดาวน์โหลดไฟล์: dknife.bin และ mmdown.bin จะส่ง C2 ที่อัปเดตสำหรับมัลแวร์ DarkNimbus ทั้งบน Android และ Windows, ดักจับและแทนที่การอัปเดตแอปพลิเคชัน Android ของจีน, และดักจับการดาวน์โหลดไฟล์ไบนารีบน Windows เพื่อส่งมัลแวร์ ShadowPad ซึ่งจะโหลด DarkNimbus อีกที
7. การรบกวนผลิตภัณฑ์ความปลอดภัย (dknife.bin): แทรกแซงการสื่อสารจากผลิตภัณฑ์ Antivirus และการจัดการ PC เช่น 360 Total Security และ Tencent services
8. การเฝ้าระวังกิตกรรมผู้ใช้ (dknife.bin): เฝ้าระวังกิตกรรมผู้ใช้แบบเรียลไทม์และรายงานกลับไปยัง Command-and-Control (C2) server

Recommendations:

Short Term:

• ตรวจสอบและอัปเดตเฟิร์มแวร์ของ Router และ Edge Device อย่างสม่ำเสมอ เพื่ออุดช่องโหว่ที่อาจถูกใช้เป็นช่องทางโจมตี
• ตรวจสอบการตั้งค่า DNS บนเครือข่ายและอุปกรณ์ของคุณเพื่อหาการเปลี่ยนแปลงที่ผิดปกติ
• ใช้งานการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication – MFA) สำหรับบริการอีเมลและแอปพลิเคชันที่สำคัญทั้งหมด
• ตรวจสอบการรับส่งข้อมูลเครือข่ายเพื่อหากิจกรรมที่น่าสงสัย หรือการเชื่อมต่อกับ Command-and-Control (C2) servers ที่รู้จัก
• อัปเดตและสแกนอุปกรณ์ปลายทาง (PC, มือถือ, IoT) ด้วยซอฟต์แวร์ป้องกันมัลแวร์ที่เชื่อถือได้
• บล็อก IP Address และ Domain ที่เกี่ยวข้องกับ C2 servers ของ DKnife หรือ Threat Actor กลุ่มนี้ (ถ้ามีข้อมูล)

Long Term:

• นำหลักการ Zero Trust Architecture มาใช้เพื่อตรวจสอบและยืนยันทุกการเชื่อมต่อและผู้ใช้งาน โดยไม่เชื่อถือจากภายในหรือภายนอกเครือข่าย
• ติดตั้งและกำหนดค่าระบบตรวจจับการบุกรุก (Intrusion Detection System – IDS) และระบบป้องกันการบุกรุก (Intrusion Prevention System – IPS) บนเครือข่าย เพื่อตรวจจับและป้องกัน AitM attacks และ Traffic Hijacking
• ทำการแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายของการโจมตีหากอุปกรณ์ใดถูกบุกรุก
• จัดให้มีการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์แก่ผู้ใช้ เพื่อให้ตระหนักถึงภัยคุกคาม เช่น Phishing และการดาวน์โหลดซอฟต์แวร์ปลอม
• ใช้ Cryptographic Protocol ที่แข็งแกร่ง (เช่น TLS 1.3) และตรวจสอบ Certificate Validity สำหรับการสื่อสารทั้งหมด
• ดำเนินการประเมินความเสี่ยงและทดสอบเจาะระบบ (Penetration Testing) Router และ Edge Device เป็นประจำ

Source: https://thehackernews.com/2026/02/china-linked-dknife-aitm-framework.html