FINALDRAFT Задна врата
Злоумишлената група, известна като Jewelbug, е засилила фокуса си върху европейски правителствени организации от юли 2025 г. насам, като същевременно поддържа активни операции срещу цели в Югоизточна Азия и Южна Америка. Изследователите проследяват този клъстер от дейности като Ink Dragon, група, известна също в по-широката общност за сигурност като CL-STA-0049, Earth Alux и REF7707. Оценява се, че злоумишлената група е свързана с Китай и демонстрира устойчива активност поне от март 2023 г.
Съдържание
Множество идентичности, един координиран клъстер
Кампаниите на Ink Dragon отразяват зряла и дисциплинирана способност за проникване. Операторите ѝ съчетават силни умения за софтуерно инженерство с повтаряеми оперативни методи, често разчитайки на вградени платформени инструменти, за да смесят злонамерена активност с легитимна корпоративна телеметрия. Тази умишлена търговска тактика значително увеличава скритостта и усложнява откриването.
Обхват, цели и текущо въздействие
Кампанията остава активна и вече е засегнала няколко десетки жертви. Засегнатите организации обхващат правителствени агенции и доставчици на телекомуникационни услуги в цяла Европа, Азия и Африка. Широкият обхват на жертвите подчертава както мащабируемостта на инфраструктурата на участника, така и стратегическия му интерес към мрежи с висока стойност.
Ранна видимост и ключови семейства зловреден софтуер
Публична информация за Ink Dragon се появи през февруари 2025 г., когато изследователи документираха използването на задната врата FINALDRAFT, известна още като Squidoor. Този зловреден софтуер поддържа както Windows, така и Linux среди. Съвсем наскоро групата беше свързана с продължително, петмесечно проникване срещу руски доставчик на ИТ услуги, което подчертава способността ѝ да поддържа дългосрочен, скрит достъп.
Първоначален достъп и доставка на полезен товар
Ink Dragon обикновено получава достъп чрез експлоатация на уязвими, интернет-обърнати уеб приложения. Тези слабости се злоупотребяват за разполагане на уеб шелове, които след това служат като точки за изстрелване на допълнителни инструменти като VARGEIT и Cobalt Strike. Тези полезни товари поддържат комуникации за командване и контрол, вътрешно разузнаване, странично движение, заобикаляне на защитни съоръжения и кражба на данни.
Злоупотреба с облачни услуги и легитимни услуги
Сред вторичните задни врати на групата е NANOREMOTE, който използва Google Drive API за обмен на файлове между заразени хостове и контролирана от нападателя инфраструктура. Изборът на инструменти изглежда умишлен и ситуационен, което предполага, че операторите адаптират внедряванията към средата на жертвата и предпочитат техники, които наподобяват нормални, надеждни модели на трафик.
Експлоатация на ViewState и отвличане на C2 инфраструктура
Определяща техника в наръчника на Ink Dragon включва експлоатация на слаби или неправилно управлявани ASP.NET машинни ключове. Чрез злоупотреба с недостатъците на десериализацията на ViewState в IIS и SharePoint сървъри, злонамереният инсталира персонализиран модул ShadowPad IIS Listener. Това трансформира компрометираните сървъри в активни компоненти на мрежата за командване и контрол на нападателя, което му позволява да проксира трафик и команди и значително увеличава устойчивостта.
От локално нарушение до глобална релейна мрежа
Тази архитектура позволява трафикът да бъде насочван не само по-дълбоко в една организация, но и през напълно отделни мрежи на жертвите. В резултат на това един компрометиран сървър може незабелязано да се превърне в посредник в по-широка, многопластова инфраструктура. Самият модул за слушане поддържа дистанционно изпълнение на команди, давайки на операторите директен контрол за разузнаване и разпределение на полезния товар.
Тактики за ескалация на привилегиите след експлоатация
Освен злоупотребата с ViewState, Ink Dragon е използвал уязвимостите на ToolShell SharePoint като оръжие, за да внедрява уеб шелове. След първоначалното компрометиране, злонамереният играч обикновено извършва няколко действия, за да осигури достъп и да повиши привилегиите:
- Използване на машинни ключове на IIS за получаване на локални администраторски идентификационни данни и странично придвижване чрез RDP тунели
- Установяване на постоянство чрез планирани задачи и злонамерени услуги
- Дъмпинг на LSASS памет и извличане на кошерите в системния регистър за повишаване на привилегиите
- Промяна на правилата на защитната стена на хоста, за да се разреши изходящ трафик и да се преобразуват системите в релейни възли на ShadowPad
Разширено повторно използване на идентификационни данни и компрометиране на домейн
В поне един наблюдаван случай, нападателите са идентифицирали прекъсната, но активна RDP сесия, принадлежаща на администратор на домейн, удостоверен чрез удостоверяване на мрежово ниво с резервен NTLMv2. Тъй като сесията е останала изключена, но не е била прекратена, чувствителният материал за идентификация е останал в LSASS паметта. След получаване на достъп на системно ниво, Ink Dragon е извлякъл токена и го е използвал повторно, за да извършва удостоверени SMB операции, да записва в административни споделени папки и да извлича NTDS.dit и кошерите в системния регистър.
Модулна екосистема за устойчивост
Вместо да разчита на една-единствена задна вратичка, Ink Dragon използва набор от специализирани компоненти, за да поддържа дългосрочен достъп. Наблюдаваните инструменти включват:
- ShadowPad Loader за декриптиране и изпълнение на основния модул ShadowPad в паметта
- CDBLoader, който злоупотребява с дебъгера на конзолата на Microsoft, за да изпълнява шелкод и да зарежда криптирани полезни товари
- LalsDumper за извличане на LSASS памет
- 032Loader за декриптиране и изпълнение на допълнителни полезни товари
- FINALDRAFT, модернизиран инструмент за дистанционно администриране, който злоупотребява с Outlook и Microsoft Graph за командване и контрол
Еволюция на FINALDRAFT
Групата наскоро внедри нов вариант на FINALDRAFT, проектиран за по-голяма скритост и по-бързо извличане на данни. Той въвежда усъвършенствани методи за избягване, поддържа многоетапна доставка на полезен товар и позволява скрито странично движение. Командите се доставят като кодирани документи, поставени в пощенската кутия на жертвата, които имплантът извлича, декриптира и изпълнява чрез модулна рамка за команди.
Припокриване с други заплашителни участници
Разследващите са идентифицирали следи и от друга свързана с Китай група, REF3927, известна още като RudePanda, в няколко среди, компрометирани от Ink Dragon. Няма доказателства за координация между двете групи и се смята, че припокриването произтича от факта, че и двамата участници използват сходни първоначални вектори за достъп, вместо да споделят инфраструктура или операции.
Нов модел на заплаха за защитниците
Ink Dragon размива традиционната граница между заразените хостове и командната инфраструктура. Всяка компрометирана система се превръща във функционален възел в контролирана от нападателя мрежа, която се разширява с всяка нова жертва. За защитниците това означава, че ограничаването не може да се фокусира единствено върху отделни системи. Ефективното разрушаване изисква идентифициране и демонтиране на цялата верига за релета. Центрираното върху релетата използване на ShadowPad от Ink Dragon представлява една от най-зрелите реализации, наблюдавани досега, като ефективно превръща самите мрежи на жертвите в гръбнака на дългосрочни, многоорганизационни шпионски кампании.
