นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับ DKnife ซึ่งเป็นเฟรมเวิร์กในการเฝ้าระวังเกตเวย์และทำการโจมตีแบบ Adversary-in-the-Middle (AitM) ที่ดำเนินการโดยกลุ่มแฮกเกอร์ที่เชื่อมโยงกับประเทศจีนตั้งแต่ปี 2019 เฟรมเวิร์กที่ใช้ Linux นี้จะติดตั้งมัลแวร์ในระดับเราเตอร์เพื่อทำการตรวจสอบแพ็กเก็ตข้อมูลเชิงลึก (deep packet inspection) ดักจับและปรับเปลี่ยนการรับส่งข้อมูล และส่งมัลแวร์ประเภท ShadowPad และ DarkNimbus เป้าหมายหลักคือผู้ใช้งานที่พูดภาษาจีน โดยมีการขโมยข้อมูลรับรอง (credentials) จากบริการอีเมลจีน ดักจับการอัปเดตแอปพลิเคชันมือถือยอดนิยมของจีน และแทนที่ไฟล์ติดตั้ง Windows การโจมตีนี้มีความเชื่อมโยงกับกลุ่มภัยคุกคามอื่น ๆ เช่น Earth Minotaur และ TheWizards ซึ่งแสดงให้เห็นถึงความซับซ้อนและต่อเนื่องของแคมเปญโจมตีเราเตอร์เหล่านี้
Severity: วิกฤต
System Impact:
- เราเตอร์ (Routers)
- อุปกรณ์ Edge Device ที่ใช้ Linux
- คอมพิวเตอร์ส่วนบุคคล (PCs)
- อุปกรณ์มือถือ (Mobile Devices) โดยเฉพาะ Android
- อุปกรณ์ Internet of Things (IoT)
- บริการอีเมลของจีน (สำหรับการขโมยข้อมูลรับรอง)
- แอปพลิเคชันมือถือของจีนยอดนิยม (เช่น WeChat, แอปข่าว, สตรีมมิ่งวิดีโอ, แต่งภาพ, อีคอมเมิร์ซ, แท็กซี่, เกม, สตรีมมิ่งวิดีโออนาจาร) สำหรับการดักจับและแทนที่การอัปเดต
- ระบบปฏิบัติการ Windows (สำหรับการดักจับการดาวน์โหลดไฟล์ไบนารี)
- ผลิตภัณฑ์ Antivirus และการจัดการ PC (เช่น 360 Total Security, Tencent services)
Technical Attack Steps:
- การบุกรุกเริ่มต้น: ผู้โจมตีทำการบุกรุกเราเตอร์และอุปกรณ์ Edge Device
- การติดตั้งเฟรมเวิร์ก: DKnife ซึ่งเป็นเฟรมเวิร์กที่มีคอมโพเนนต์ Linux-based เจ็ดตัว (เช่น dknife.bin, sslmm.bin) ถูกติดตั้งบนอุปกรณ์ที่ถูกบุกรุกผ่าน ELF downloader
- การตรวจสอบแพ็กเก็ตเชิงลึก (dknife.bin): คอมโพเนนต์หลักทำการตรวจสอบแพ็กเก็ตข้อมูลเพื่อติดตามกิจกรรมผู้ใช้และการรับส่งข้อมูล
- การดัดแปลงการรับส่งข้อมูล: รวมถึงการ hijack DNS (IPv4/IPv6 สำหรับโดเมนที่เกี่ยวข้องกับ JD.com), การเปลี่ยนเส้นทาง URL (sslmm.bin) และการสร้าง bridged TAP interface (yitiji.bin) บนเราเตอร์เพื่อแทรกการรับส่งข้อมูล LAN
- การขโมยข้อมูลรับรอง (sslmm.bin): คอมโพเนนต์ sslmm.bin จะนำเสนอใบรับรอง TLS ของตัวเอง, สิ้นสุดและถอดรหัสการเชื่อมต่อ POP3/IMAP, และตรวจสอบข้อมูลแบบ plaintext เพื่อดึงชื่อผู้ใช้และรหัสผ่านจากผู้ให้บริการอีเมลจีนที่สำคัญ ข้อมูลที่ถูกขโมยจะถูกส่งไปยัง C2 ผ่าน postapi.bin
- การส่งมัลแวร์/การ hijack การดาวน์โหลดไฟล์: dknife.bin และ mmdown.bin จะส่ง C2 ที่อัปเดตสำหรับมัลแวร์ DarkNimbus ทั้งบน Android และ Windows, ดักจับและแทนที่การอัปเดตแอปพลิเคชัน Android ของจีน, และดักจับการดาวน์โหลดไฟล์ไบนารีบน Windows เพื่อส่งมัลแวร์ ShadowPad ซึ่งจะโหลด DarkNimbus อีกที
- การรบกวนผลิตภัณฑ์ความปลอดภัย (dknife.bin): แทรกแซงการสื่อสารจากผลิตภัณฑ์ Antivirus และการจัดการ PC เช่น 360 Total Security และ Tencent services
- การเฝ้าระวังกิตกรรมผู้ใช้ (dknife.bin): เฝ้าระวังกิตกรรมผู้ใช้แบบเรียลไทม์และรายงานกลับไปยัง Command-and-Control (C2) server
Recommendations:
Short Term:
- ตรวจสอบและอัปเดตเฟิร์มแวร์ของ Router และ Edge Device อย่างสม่ำเสมอ เพื่ออุดช่องโหว่ที่อาจถูกใช้เป็นช่องทางโจมตี
- ตรวจสอบการตั้งค่า DNS บนเครือข่ายและอุปกรณ์ของคุณเพื่อหาการเปลี่ยนแปลงที่ผิดปกติ
- ใช้งานการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication – MFA) สำหรับบริการอีเมลและแอปพลิเคชันที่สำคัญทั้งหมด
- ตรวจสอบการรับส่งข้อมูลเครือข่ายเพื่อหากิจกรรมที่น่าสงสัย หรือการเชื่อมต่อกับ Command-and-Control (C2) servers ที่รู้จัก
- อัปเดตและสแกนอุปกรณ์ปลายทาง (PC, มือถือ, IoT) ด้วยซอฟต์แวร์ป้องกันมัลแวร์ที่เชื่อถือได้
- บล็อก IP Address และ Domain ที่เกี่ยวข้องกับ C2 servers ของ DKnife หรือ Threat Actor กลุ่มนี้ (ถ้ามีข้อมูล)
Long Term:
- นำหลักการ Zero Trust Architecture มาใช้เพื่อตรวจสอบและยืนยันทุกการเชื่อมต่อและผู้ใช้งาน โดยไม่เชื่อถือจากภายในหรือภายนอกเครือข่าย
- ติดตั้งและกำหนดค่าระบบตรวจจับการบุกรุก (Intrusion Detection System – IDS) และระบบป้องกันการบุกรุก (Intrusion Prevention System – IPS) บนเครือข่าย เพื่อตรวจจับและป้องกัน AitM attacks และ Traffic Hijacking
- ทำการแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายของการโจมตีหากอุปกรณ์ใดถูกบุกรุก
- จัดให้มีการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์แก่ผู้ใช้ เพื่อให้ตระหนักถึงภัยคุกคาม เช่น Phishing และการดาวน์โหลดซอฟต์แวร์ปลอม
- ใช้ Cryptographic Protocol ที่แข็งแกร่ง (เช่น TLS 1.3) และตรวจสอบ Certificate Validity สำหรับการสื่อสารทั้งหมด
- ดำเนินการประเมินความเสี่ยงและทดสอบเจาะระบบ (Penetration Testing) Router และ Edge Device เป็นประจำ
Source: https://thehackernews.com/2026/02/china-linked-dknife-aitm-framework.html
Share this content: