DKnife Linux toolkit hijacks router traffic to spy, deliver malware

ชุดเครื่องมือ DKnife ที่ถูกค้นพบใหม่ ถูกใช้มาตั้งแต่ปี 2019 เพื่อทำการไฮแจ็กทราฟฟิกในระดับอุปกรณ์ Edge-device และส่งมัลแวร์ในการโจมตีแบบจารกรรมข้อมูล โดย DKnife เป็นเฟรมเวิร์ก ELF ที่มีส่วนประกอบสำหรับ Linux เจ็ดรายการ ซึ่งออกแบบมาสำหรับการตรวจสอบแพ็กเก็ต (Deep Packet Inspection – DPI), การจัดการทราฟฟิก, การเก็บข้อมูลประจำตัว (credential harvesting) และการส่งมัลแวร์ นอกจากนี้ยังพบการเชื่อมโยงกับผู้โจมตีที่เกี่ยวข้องกับประเทศจีนและมัลแวร์ ShadowPad และ DarkNimbus อีกด้วย

Severity: สูง

System Impact:

• Edge-device level (Router)
• Linux-based systems
• Windows systems
• Android mobile devices
• IoT devices
• Email providers (POP3/IMAP)
• Mobile applications (WeChat, Signal, maps, news, ride-hailing, shopping apps)

Technical Attack Steps:

1. ไม่สามารถระบุวิธีการที่อุปกรณ์เครือข่ายถูกโจมตีได้ แต่ DKnife ถูกติดตั้งในระดับ Edge-device (เราเตอร์).
2. DKnife เป็นเฟรมเวิร์ก ELF สำหรับ Linux ประกอบด้วย 7 คอมโพเนนต์หลัก ได้แก่ dknife.bin (ตรวจสอบแพ็กเก็ต, ตรรกะการโจมตี, รายงานสถานะ), postapi.bin (ส่งต่อข้อมูลไปยัง C2), sslmm.bin (Reverse Proxy), yitiji.bin (สร้าง Virtual Ethernet interface/TAP), remote.bin (P2P VPN Client), mmdown.bin (ดาวน์โหลด/อัปเดต Android APK), dkupdate.bin (ดาวน์โหลด/ติดตั้ง/อัปเดต DKnife).
3. คอมโพเนนต์ yitiji.bin สร้างอินเทอร์เฟซ TAP (Virtual Network Device) บนเราเตอร์ด้วย IP Address ส่วนตัว 10.3.3.3 เพื่อดักจับและเขียนซ้ำแพ็กเก็ตเครือข่ายระหว่างทางไปยังโฮสต์เป้าหมาย.
4. DKnife สามารถใช้เพื่อส่งไฟล์ APK ที่เป็นอันตรายไปยังอุปกรณ์มือถือ หรือส่งมัลแวร์ ShadowPad สำหรับ Windows (ลงนามด้วยใบรับรองของบริษัทจีน) และ DarkNimbus backdoor.
5. ความสามารถอื่นๆ ของ DKnife รวมถึง DNS hijacking, การไฮแจ็กการอัปเดตแอปพลิเคชัน Android, การไฮแจ็กไบนารีของ Windows, การเก็บข้อมูลประจำตัวผ่านการถอดรหัส POP3/IMAP, การโฮสต์หน้าฟิชชิง, การขัดขวางทราฟฟิกของผลิตภัณฑ์รักษาความปลอดภัย (Anti-virus).
6. DKnife ตรวจสอบกิจกรรมของผู้ใช้งานอย่างกว้างขวาง เช่น การใช้แอปพลิเคชันส่งข้อความ (WeChat, Signal), แอปแผนที่, การบริโภคข่าวสาร, กิจกรรมการโทร, แอปเรียกรถ และการช้อปปิ้ง.
7. ข้อมูลกิจกรรมของผู้ใช้จะถูกส่งต่อภายในระหว่างคอมโพเนนต์ของ DKnife ก่อนที่จะถูกส่งออกไปยัง C2 API endpoint โดยใช้คำขอ HTTP POST.

Recommendations:

Short Term:

• ตรวจสอบ Indicators of Compromise (IoCs) ที่ Cisco Talos ได้เผยแพร่ทันที
• เฝ้าระวังทราฟฟิกเครือข่ายบนอุปกรณ์ Edge-device และเราเตอร์อย่างใกล้ชิด เพื่อหาสัญญาณของกิจกรรมที่ผิดปกติ (เช่น การสร้าง TAP interface, ทราฟฟิกไปยัง C2 ที่ไม่รู้จัก)
• ตรวจสอบการตั้งค่า DNS ของอุปกรณ์ Edge-device และเครือข่ายทั้งหมดเพื่อหาสัญญาณการไฮแจ็ก
• หากเป็นไปได้ ให้ทำการรีวิวหรืออัปเดตเฟิร์มแวร์เราเตอร์และอุปกรณ์ Edge-device เป็นเวอร์ชันล่าสุด พร้อมเปลี่ยนรหัสผ่านเริ่มต้นและปิดบริการที่ไม่จำเป็น
• แจ้งเตือนผู้ใช้งานเกี่ยวกับอันตรายของการดาวน์โหลดหรืออัปเดตแอปพลิเคชันจากแหล่งที่ไม่เป็นทางการ

Long Term:

• ติดตั้งและบำรุงรักษาระบบรักษาความปลอดภัยเครือข่ายขั้นสูง เช่น Network Detection and Response (NDR) หรือ Deep Packet Inspection (DPI) ในจุดสำคัญของเครือข่าย
• ทำการแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายของการโจมตี หากอุปกรณ์ Edge-device ถูกบุกรุก
• ใช้โซลูชัน Endpoint Detection and Response (EDR) บนระบบปฏิบัติการ Windows และ Linux เพื่อตรวจจับกิจกรรมที่น่าสงสัยของมัลแวร์
• บังคับใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับบริการทั้งหมด โดยเฉพาะอีเมล
• ให้ความรู้แก่ผู้ใช้งานอย่างต่อเนื่องเกี่ยวกับการระบุและหลีกเลี่ยงฟิชชิง, การดาวน์โหลดไฟล์ที่น่าสงสัย และการอัปเดตแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ
• พิจารณาใช้ VPN (Virtual Private Network) สำหรับทราฟฟิกข้อมูลที่ละเอียดอ่อน

Source: https://www.bleepingcomputer.com/news/security/dknife-linux-toolkit-hijacks-router-traffic-to-spy-deliver-malware/