FINALDRAFT Backdoor

كثّفت الجهة الفاعلة المعروفة باسم "جولباغ" تركيزها على المؤسسات الحكومية الأوروبية منذ يوليو/تموز 2025، مع استمرارها في عمليات نشطة ضد أهداف في جنوب شرق آسيا وأمريكا الجنوبية. ويتتبع الباحثون هذه المجموعة من الأنشطة تحت اسم "إنك دراغون"، وهي مجموعة تُعرف أيضاً في أوساط الأمن السيبراني باسم CL-STA-0049 وEarth Alux وREF7707. ويُعتقد أن هذه الجهة موالية للصين، وقد أظهرت نشاطاً مستمراً منذ مارس/آذار 2023 على الأقل.

هويات متعددة، مجموعة واحدة منسقة

تعكس حملات شركة Ink Dragon قدرة اختراق متطورة ومنضبطة. يجمع مشغلوها بين مهارات هندسة برمجيات قوية وخطط عمليات قابلة للتكرار، ويعتمدون في كثير من الأحيان على أدوات المنصة المدمجة لدمج النشاط الخبيث مع بيانات المؤسسة المشروعة. هذه الحيلة المتعمدة تزيد بشكل كبير من التخفي وتزيد من صعوبة الكشف.

النطاق والأهداف والأثر المستمر

لا تزال الحملة مستمرة، وقد أثرت بالفعل على عشرات الضحايا. وتشمل المنظمات المتضررة وكالات حكومية ومزودي خدمات اتصالات في أوروبا وآسيا وأفريقيا. ويؤكد اتساع نطاق الضحايا على قابلية بنية الجهة الفاعلة للتوسع، وعلى اهتمامها الاستراتيجي بالشبكات ذات القيمة العالية.

الكشف المبكر عن عائلات البرامج الضارة الرئيسية

ظهرت معلوماتٌ عامةٌ حول مجموعة "إنك دراغون" في فبراير 2025، عندما وثّق الباحثون استخدامها لثغرة "فينالدرافت" الخبيثة، المعروفة أيضاً باسم "سكويدور". يدعم هذا البرنامج الخبيث بيئتي ويندوز ولينكس. ومؤخراً، رُبطت المجموعة بعملية اختراقٍ مطوّلةٍ استمرت خمسة أشهر ضدّ مزوّد خدمات تكنولوجيا معلومات روسي، ما يُبرز قدرتها على الحفاظ على وصولٍ سريٍّ طويل الأمد.

الوصول الأولي وتسليم الحمولة

عادةً ما يتسلل برنامج Ink Dragon إلى الأنظمة عبر استغلال ثغرات أمنية في تطبيقات الويب المتصلة بالإنترنت. تُستغل هذه الثغرات لنشر برامج خبيثة، تُستخدم بدورها كنقاط انطلاق لأدوات إضافية مثل VARGEIT وCobalt Strike. تدعم هذه البرامج الخبيثة اتصالات القيادة والسيطرة، والاستطلاع الداخلي، والتنقل الجانبي، واختراق الدفاعات، وسرقة البيانات.

إساءة استخدام الخدمات السحابية والخدمات المشروعة

من بين الثغرات الأمنية الثانوية للمجموعة، نجد NANOREMOTE، التي تستغل واجهة برمجة تطبيقات Google Drive لتبادل الملفات بين الأجهزة المصابة والبنية التحتية التي يتحكم بها المهاجم. ويبدو أن اختيار الأدوات مدروسٌ ومُرتبطٌ بالظروف، مما يُشير إلى أن المُشغلين يُصممون عمليات النشر بما يتناسب مع بيئة الضحية، ويُفضلون التقنيات التي تُحاكي أنماط حركة البيانات الطبيعية والموثوقة.

استغلال ViewState واختطاف البنية التحتية للتحكم والسيطرة

تعتمد إحدى التقنيات الأساسية في استراتيجية Ink Dragon على استغلال ثغرات مفاتيح ASP.NET الآلية الضعيفة أو المُدارة بشكل سيئ. فمن خلال استغلال عيوب إلغاء تسلسل ViewState في خوادم IIS و SharePoint، يقوم المهاجم بتثبيت وحدة ShadowPad IIS Listener مخصصة. هذا يحوّل الخوادم المخترقة إلى مكونات فعّالة في شبكة التحكم والسيطرة الخاصة بالمهاجم، مما يمكّنه من توجيه حركة البيانات والأوامر عبر وسيط، وبالتالي زيادة قدرة النظام على الصمود بشكل كبير.

من الاختراق المحلي إلى شبكة الترحيل العالمية

تتيح هذه البنية توجيه حركة البيانات ليس فقط إلى أعماق المؤسسة الواحدة، بل أيضاً عبر شبكات ضحايا منفصلة تماماً. ونتيجةً لذلك، يمكن لخادم واحد مخترق أن يصبح وسيطاً ضمن بنية تحتية أوسع متعددة الطبقات دون أن يشعر. كما تدعم وحدة الاستماع تنفيذ الأوامر عن بُعد، مما يمنح المشغلين تحكماً مباشراً في عمليات الاستطلاع وتجهيز الحمولة.

تكتيكات ما بعد الاستغلال وتصعيد الامتيازات

بالإضافة إلى استغلال ثغرة ViewState، استغلّت مجموعة Ink Dragon ثغرات ToolShell في SharePoint لنشر برامج خبيثة على الويب. بعد الاختراق الأولي، يقوم المهاجم عادةً بتنفيذ عدة إجراءات لترسيخ الوصول وتصعيد الامتيازات:

• استخدام مفاتيح أجهزة IIS للحصول على بيانات اعتماد إدارية محلية والتنقل جانبياً عبر أنفاق RDP
• ترسيخ الاستمرارية من خلال المهام المجدولة والخدمات الخبيثة
• تفريغ ذاكرة LSASS واستخراج خلايا التسجيل لرفع الامتيازات
• تغيير قواعد جدار الحماية الخاص بالمضيف للسماح بحركة المرور الصادرة وتحويل الأنظمة إلى عقد ترحيل ShadowPad

إعادة استخدام بيانات الاعتماد المتقدمة واختراق النطاق

في إحدى الحالات التي تم رصدها على الأقل، حدد المهاجمون جلسة RDP غير متصلة ولكنها نشطة، تخص مسؤول نطاق تم التحقق من هويته عبر مصادقة مستوى الشبكة مع استخدام NTLMv2 كخيار احتياطي. ولأن الجلسة ظلت مسجلة الخروج ولكن لم يتم إنهاؤها، فقد بقيت بيانات الاعتماد الحساسة مخزنة في ذاكرة LSASS. بعد الحصول على صلاحيات النظام، استخرج برنامج Ink Dragon الرمز المميز وأعاد استخدامه لإجراء عمليات SMB مصادقة، والكتابة إلى المشاركات الإدارية، واستخراج ملفات NTDS.dit وخلايا التسجيل.

نظام بيئي معياري للاستمرارية

بدلاً من الاعتماد على ثغرة أمنية واحدة، تستخدم شركة Ink Dragon مجموعة من المكونات المتخصصة للحفاظ على الوصول طويل الأمد. وتشمل الأدوات المستخدمة ما يلي:

• برنامج تحميل ShadowPad لفك تشفير وتنفيذ وحدة ShadowPad الأساسية في الذاكرة

• برنامج CDBLoader، الذي يستغل مصحح أخطاء وحدة التحكم من مايكروسوفت لتنفيذ التعليمات البرمجية الخبيثة وتحميل الحمولات المشفرة

• LalsDumper لاستخراج ذاكرة LSASS

• 032Loader لفك تشفير وتشغيل حمولات إضافية

• FINALDRAFT، أداة إدارة عن بُعد حديثة تستغل Outlook وMicrosoft Graph للتحكم والتوجيه

تطور برنامج FINALDRAFT

نشرت المجموعة مؤخرًا نسخةً جديدةً من برنامج FINALDRAFT مصممةً لتعزيز التخفي وسرعة استخراج البيانات. تُقدّم هذه النسخة أساليبَ متطورةً للتهرّب، وتدعم إيصال الحمولة على مراحل متعددة، وتُمكّن من الحركة الجانبية السرية. تُرسل الأوامر على شكل مستندات مشفرة تُوضع في صندوق بريد الضحية، حيث يقوم البرنامج المزروع باسترجاعها وفك تشفيرها وتنفيذها من خلال إطار عمل أوامر معياري.

التداخل مع جهات التهديد الأخرى

كما رصد المحققون آثارًا لمجموعة أخرى موالية للصين، تُدعى REF3927، والمعروفة أيضًا باسم RudePanda، في عدة بيئات اخترقها برنامج Ink Dragon. ولا يوجد دليل على وجود تنسيق بين المجموعتين، ويُعتقد أن التداخل بينهما ناتج عن استغلال كلتيهما لأساليب وصول أولية متشابهة، وليس عن مشاركة البنية التحتية أو العمليات.

نموذج تهديد جديد للمدافعين

يُطمس برنامج Ink Dragon الخط الفاصل التقليدي بين الأجهزة المصابة وبنية القيادة. فكل نظام مخترق يصبح عقدة وظيفية في شبكة يتحكم بها المهاجم، وتتوسع هذه الشبكة مع كل ضحية جديدة. بالنسبة للمدافعين، هذا يعني أن احتواء النظام لا يمكن أن يقتصر على الأنظمة الفردية فقط. فالتعطيل الفعال يتطلب تحديد وتفكيك سلسلة الترحيل بأكملها. ويُعد استخدام Ink Dragon لتقنية ShadowPad، التي تركز على الترحيل، أحد أكثر التطبيقات نضجًا التي تم رصدها حتى الآن، حيث يحوّل شبكات الضحايا نفسها إلى العمود الفقري لحملات تجسس طويلة الأمد ومتعددة المؤسسات.