Zadní vrátka FINALDRAFT
Hrozba běžně označovaná jako Jewelbug se od července 2025 zintenzivnila na evropské vládní organizace a zároveň pokračovala v aktivních operacích proti cílům v jihovýchodní Asii a Jižní Americe. Výzkumníci sledují tento klastr aktivit jako Ink Dragon, skupinu známou v širší bezpečnostní komunitě také jako CL-STA-0049, Earth Alux a REF7707. Hrozba je považována za spojenou s Čínou a vykazuje trvalou aktivitu nejméně od března 2023.
Obsah
Více identit, jeden koordinovaný klastr
Kampaně společnosti Ink Dragon odrážejí zralou a disciplinovanou schopnost proti vniknutí. Její operátoři kombinují silné dovednosti v oblasti softwarového inženýrství s opakovatelnými operačními postupy a často se spoléhají na vestavěné nástroje platformy, které prolínají škodlivou aktivitu s legitimní podnikovou telemetrií. Toto úmyslné trikové řešení výrazně zvyšuje utajení a komplikuje detekci.
Rozsah, cíle a trvalý dopad
Kampaň je stále aktivní a již postihla několik desítek obětí. Mezi postižené organizace patří vládní agentury a telekomunikační poskytovatelé v celé Evropě, Asii a Africe. Šíře obětí podtrhuje jak škálovatelnost infrastruktury aktéra, tak jeho strategický zájem o vysoce hodnotné sítě.
Včasná viditelnost a klíčové rodiny malwaru
Veřejný vhled do malwaru Ink Dragon se objevil v únoru 2025, kdy vědci zdokumentovali jeho používání backdooru FINALDRAFT, známého také jako Squidoor. Tento malware podporuje prostředí Windows i Linux. Nedávno byla skupina spojována s prodlouženým, pětiměsíčním útokem na ruského poskytovatele IT služeb, což zdůraznilo její schopnost udržovat si dlouhodobý, tajný přístup.
Počáteční přístup a dodání užitečného zatížení
Ink Dragon se obvykle do systému dostává zneužitím zranitelných webových aplikací s přístupem k internetu. Tyto slabiny jsou zneužívány k nasazení webových shellů, které pak slouží jako odpalovací body pro další nástroje, jako jsou VARGEIT a Cobalt Strike. Tyto nástroje podporují komunikaci velení a řízení, vnitřní průzkum, laterální pohyb, obcházení obrany a krádež dat.
Zneužívání cloudu a legitimních služeb
Mezi sekundární zadní vrátka skupiny patří NANOREMOTE, který využívá API Disku Google k výměně souborů mezi infikovanými hostiteli a infrastrukturou ovládanou útočníkem. Výběr nástrojů se jeví jako záměrný a situační, což naznačuje, že operátoři přizpůsobují nasazení prostředí oběti a upřednostňují techniky, které se podobají běžným a důvěryhodným vzorcům provozu.
Zneužití ViewState a únos infrastruktury C2
Definující technika v herním plánu Ink Dragon zahrnuje zneužívání slabých nebo špatně spravovaných klíčů ASP.NET. Zneužíváním chyb deserializace ViewState na serverech IIS a SharePoint útočník instaluje vlastní modul ShadowPad IIS Listener. Ten transformuje napadené servery na aktivní součásti útočníkovy sítě Command-and-Control, což mu umožňuje proxy provoz a příkazy a výrazně zvyšuje odolnost.
Od lokálního narušení ke globální reléové síti
Tato architektura umožňuje směrování provozu nejen hlouběji do jedné organizace, ale také přes zcela oddělené sítě obětí. V důsledku toho se jeden napadený server může nenápadně stát prostředníkem v širší, vícevrstvé infrastruktuře. Samotný modul listeneru podporuje vzdálené provádění příkazů, což operátorům poskytuje přímou kontrolu nad průzkumem a přidělováním dat.
Taktiky po zneužití a eskalaci privilegií
Kromě zneužití ViewState zneužívá Ink Dragon zranitelnosti SharePointu v ToolShellu k nasazení webových shellů. Po počátečním napadení útočník obvykle provede několik akcí k zajištění přístupu a zvýšení oprávnění:
- Využití klíčů počítačů IIS k získání lokálních administrátorských přihlašovacích údajů a laterálnímu přesunu přes tunely RDP
- Zajištění perzistence prostřednictvím naplánovaných úloh a škodlivých služeb
- Výpis paměti LSASS a extrahování podregistrů registru pro zvýšení oprávnění
- Úprava pravidel firewallu hostitele pro povolení odchozího provozu a přeměnu systémů na reléové uzly ShadowPad
Pokročilé opakované použití přihlašovacích údajů a kompromitace domény
V alespoň jednom pozorovaném případě útočníci identifikovali odpojenou, ale aktivní relaci RDP patřící správci domény ověřenému prostřednictvím ověřování na úrovni sítě s fallbackem NTLMv2. Protože relace zůstala odhlášena, ale nebyla ukončena, citlivý materiál s přihlašovacími údaji přetrvával v paměti LSASS. Po získání přístupu na úrovni SYSTEM Ink Dragon extrahoval token a znovu jej použil k provádění ověřených operací SMB, zápisu do sdílených složek pro správu a exfiltraci souboru NTDS.dit a podregistrů registru.
Modulární ekosystém perzistence
Místo spoléhání se na jediné zadní vrátko využívá Ink Dragon sadu specializovaných komponent k udržení dlouhodobého přístupu. Mezi pozorované nástroje patří:
- Zavaděč ShadowPad pro dešifrování a spuštění základního modulu ShadowPad v paměti
- CDBLoader, který zneužívá ladicí program konzole od Microsoftu ke spouštění shellcode a načítání šifrovaných datových částí
- LalsDumper pro extrakci paměti LSASS
- 032Loader pro dešifrování a spouštění dalších datových úložiště
- FINALDRAFT, modernizovaný nástroj pro vzdálenou správu, který zneužívá Outlook a Microsoft Graph pro ovládání a řízení
Vývoj FINALDRAFTu
Skupina nedávno nasadila novou variantu FINALDRAFT navrženou pro větší nenápadnost a rychlejší únik dat. Zavádí pokročilé metody úniku, podporuje vícestupňové doručování dat a umožňuje skrytý laterální pohyb. Příkazy jsou doručovány jako zakódované dokumenty umístěné v poštovní schránce oběti, které implantát načte, dešifruje a provede prostřednictvím modulárního systému příkazů.
Překrývání s jinými aktéry hrozeb
Vyšetřovatelé také identifikovali stopy další skupiny napojené na Čínu, REF3927, známé také jako RudePanda, v několika prostředích napadených hrou Ink Dragon. Neexistují žádné důkazy o koordinaci mezi těmito dvěma skupinami a předpokládá se, že překrývání pramení z toho, že oba aktéři využívají podobné počáteční přístupové vektory, spíše než aby sdíleli infrastrukturu nebo operace.
Nový model hrozeb pro obránce
Ink Dragon stírá tradiční hranici mezi infikovanými hostiteli a velitelskou infrastrukturou. Každý napadený systém se stává funkčním uzlem v síti ovládané útočníkem, která se rozšiřuje s každou novou obětí. Pro obránce to znamená, že se omezování nemůže zaměřit pouze na jednotlivé systémy. Efektivní narušení vyžaduje identifikaci a demontáž celého přenosového řetězce. Použití ShadowPadu v Ink Dragonu zaměřené na přenosové sítě představuje jednu z nejvyspělejších implementací, které byly dosud pozorovány, a efektivně proměňuje samotné sítě obětí v páteř dlouhodobých špionážních kampaní s více organizacemi.
