Исследователи команды по угрозам Cisco Talos опубликовали разбор фреймворка под названием DKnife, который представляет собой сложный набор инструментов для мониторинга сетевого трафика на уровне шлюза и проведения атак типа «адверсар-в-посреднике» (AitM).
По результатам анализа, DKnife состоит минимум из семи компонентов для Linux-сред, способных выполнять глубокий анализ пакетов, изменять проходящий через устройства трафик и внедрять дополнительные вредоносные программы через маршрутизаторы и пограничные вычислительные устройства. Эти механизмы позволяют злоумышленникам перехватывать трафик, модифицировать содержимое загрузок и распределять дополнительные бэкдоры на устройствах конечных пользователей.
Судя по метаданным артефактов и анализу командных серверов, фреймворк используется, как минимум, с 2019 года, а инфраструктура управления остаётся активной по состоянию на январь 2026 года. Среди целей атак отмечены ПК, мобильные устройства и IoT-устройства, что свидетельствует о широком спектре применения инструментария в реальных операциях.
При этом Talos выявила, что DKnife интегрируется с уже известными бэкдорами, такими как ShadowPad и DarkNimbus, перехватывая бинарные загрузки и обновления Android-приложений, что позволяет скрытно распространять вторичный вредоносный код. Лингвистические и архитектурные признаки активности указывают на связь фреймворка с группами угроз, которые ориентируют свои операции на китайскоязычных пользователей и сервисы.
Эксперты отмечают, что подобные фреймворки повышают уровень угроз для сетевой инфраструктуры, поскольку могут использоваться для длительного скрытого наблюдения за трафиком, компрометации доверенных обновлений и внедрения вторичных вредоносных модулей без явного оповещения конечных пользователей.
Каширский городской суд вынес приговор участникам схемы мошенничества, связанной с программой Пушкинская карта.
Federal Bureau of Investigation объявило о поиске пользователей, которые могли пострадать от действий хакеров, взломавших аккаунты популярной игровой платформы Steam.
Эксперты по кибербезопасности из Microsoft сообщили о новой вредоносной кампании, в рамках которой злоумышленники распространяют поддельные VPN-клиенты через поисковую выдачу.
Редакция Cyber Media собрала ключевые события из мира кибербезопасности за эту неделю.
Аналитический центр Black Lotus Labs совместно с Министерством юстиции США провел операцию по нейтрализации прокси-сети SocksEscort, построенной на базе вредоносного ПО AVRecon.
Google выпустила внеплановое обновление стабильной ветки Chrome, закрывающее две критические уязвимости, которые, по данным компании, уже эксплуатируются в реальных кибератаках.
Исследователи Qualys Threat Research Unit обнаружили девять уязвимостей в модуле безопасности AppArmor, которые существовали с 2017 года и затрагивают более 12,6 млн систем по всему миру.
Более 200 представителей российских компаний ежегодно принимают участие в Security Summit — руководители ИБ, ИТ-директора и представители бизнеса.
Аналитики «Контур Фокуса» и «Контур Эгиды» представили исследование российского рынка информационной безопасности, охватывающее период с 1 марта 2024 по 1 марта 2026 года.
В 2026 году основным инструментом борьбы с технологическими подсказками на едином госэкзамене станут системы подавления сотовой связи.
