FINALDRAFT Backdoor
Ο απειλητικός παράγοντας, που συνήθως αναφέρεται ως Jewelbug, έχει εντείνει την εστίασή του σε ευρωπαϊκούς κυβερνητικούς οργανισμούς από τον Ιούλιο του 2025, διατηρώντας παράλληλα ενεργές επιχειρήσεις εναντίον στόχων στη Νοτιοανατολική Ασία και τη Νότια Αμερική. Οι ερευνητές παρακολουθούν αυτό το σύμπλεγμα δραστηριοτήτων ως Ink Dragon, μια ομάδα γνωστή στην ευρύτερη κοινότητα ασφαλείας ως CL-STA-0049, Earth Alux και REF7707. Ο παράγοντας αξιολογείται ότι έχει ευθυγραμμιστεί με την Κίνα και έχει επιδείξει συνεχή δραστηριότητα τουλάχιστον από τον Μάρτιο του 2023.
Πίνακας περιεχομένων
Πολλαπλές Ταυτότητες, Ένα Συντονισμένο Σύμπλεγμα
Οι εκστρατείες του Ink Dragon αντικατοπτρίζουν μια ώριμη και πειθαρχημένη ικανότητα εισβολής. Οι χειριστές του συνδυάζουν ισχυρές δεξιότητες μηχανικής λογισμικού με επαναλήψιμα λειτουργικά εγχειρίδια, βασιζόμενοι συχνά σε ενσωματωμένα βοηθητικά προγράμματα πλατφόρμας για να συνδυάσουν κακόβουλη δραστηριότητα με νόμιμη εταιρική τηλεμετρία. Αυτή η σκόπιμη τεχνική αυξάνει σημαντικά την αθέτηση και περιπλέκει την ανίχνευση.
Πεδίο εφαρμογής, στόχοι και συνεχής επίδραση
Η εκστρατεία παραμένει ενεργή και έχει ήδη επηρεάσει αρκετές δεκάδες θύματα. Οι πληττόμενοι οργανισμοί εκτείνονται σε κυβερνητικές υπηρεσίες και παρόχους τηλεπικοινωνιών σε όλη την Ευρώπη, την Ασία και την Αφρική. Το εύρος των θυμάτων υπογραμμίζει τόσο την επεκτασιμότητα της υποδομής του φορέα όσο και το στρατηγικό του ενδιαφέρον για δίκτυα υψηλής αξίας.
Πρώιμη ορατότητα και βασικές οικογένειες κακόβουλου λογισμικού
Η δημόσια γνώση για το Ink Dragon εμφανίστηκε τον Φεβρουάριο του 2025, όταν οι ερευνητές κατέγραψαν τη χρήση του FINALDRAFT backdoor, γνωστού και ως Squidoor. Αυτό το κακόβουλο λογισμικό υποστηρίζει περιβάλλοντα Windows και Linux. Πιο πρόσφατα, η ομάδα συνδέθηκε με μια παρατεταμένη, πεντάμηνη εισβολή σε έναν Ρώσο πάροχο υπηρεσιών πληροφορικής, υπογραμμίζοντας την ικανότητά του να διατηρεί μακροπρόθεσμη, μυστική πρόσβαση.
Αρχική πρόσβαση και παράδοση ωφέλιμου φορτίου
Το Ink Dragon συνήθως αποκτά πρόσβαση εκμεταλλευόμενο ευάλωτες, διαδικτυακές εφαρμογές. Αυτές οι αδυναμίες χρησιμοποιούνται για την ανάπτυξη κελυφών ιστού, τα οποία στη συνέχεια χρησιμεύουν ως σημεία εκτόξευσης για πρόσθετα εργαλεία όπως το VARGEIT και το Cobalt Strike. Αυτά τα ωφέλιμα φορτία υποστηρίζουν επικοινωνίες διοίκησης και ελέγχου, εσωτερική αναγνώριση, πλευρική κίνηση, αποφυγή αμυντικών συστημάτων και κλοπή δεδομένων.
Κατάχρηση Υπηρεσιών Cloud και Νόμιμων Υπηρεσιών
Μεταξύ των δευτερευόντων backdoors της ομάδας είναι το NANOREMOTE, το οποίο αξιοποιεί το API του Google Drive για την ανταλλαγή αρχείων μεταξύ μολυσμένων κεντρικών υπολογιστών και υποδομής που ελέγχεται από τον εισβολέα. Η επιλογή εργαλείων φαίνεται σκόπιμη και περιστασιακή, γεγονός που υποδηλώνει ότι οι χειριστές προσαρμόζουν τις αναπτύξεις στο περιβάλλον του θύματος και προτιμούν τεχνικές που μοιάζουν με κανονικά, αξιόπιστα μοτίβα κυκλοφορίας.
Εκμετάλλευση ViewState και Υπεξαίρεση Υποδομών C2
Μια καθοριστική τεχνική στο εγχειρίδιο του Ink Dragon περιλαμβάνει την εκμετάλλευση αδύναμων ή κακοδιαχειριζόμενων κλειδιών μηχανήματος ASP.NET. Καταχρώμενος τα ελαττώματα αποσειριοποίησης ViewState σε διακομιστές IIS και SharePoint, ο hacker εγκαθιστά μια προσαρμοσμένη μονάδα ShadowPad IIS Listener. Αυτό μετατρέπει τους παραβιασμένους διακομιστές σε ενεργά στοιχεία του δικτύου εντολών και ελέγχου του εισβολέα, επιτρέποντάς τους να χρησιμοποιούν μεσολάβηση για την κυκλοφορία και τις εντολές και αυξάνοντας σημαντικά την ανθεκτικότητα.
Από την τοπική παραβίαση στο παγκόσμιο δίκτυο αναμετάδοσης
Αυτή η αρχιτεκτονική επιτρέπει τη δρομολόγηση της κίνησης όχι μόνο βαθύτερα σε έναν μόνο οργανισμό, αλλά και σε εντελώς ξεχωριστά δίκτυα θυμάτων. Ως αποτέλεσμα, ένας παραβιασμένος διακομιστής μπορεί σιωπηλά να γίνει μεσάζων σε μια ευρύτερη, πολυεπίπεδη υποδομή. Η ίδια η μονάδα ακρόασης υποστηρίζει την απομακρυσμένη εκτέλεση εντολών, δίνοντας στους χειριστές άμεσο έλεγχο για την αναγνώριση και τη σταδιοποίηση του ωφέλιμου φορτίου.
Τακτικές μετά την εκμετάλλευση και την κλιμάκωση των προνομίων
Πέρα από την κατάχρηση του ViewState, το Ink Dragon έχει οπλίσει τα τρωτά σημεία του ToolShell SharePoint για την ανάπτυξη κελυφών ιστού. Μετά την αρχική παραβίαση, ο δράστης συνήθως εκτελεί διάφορες ενέργειες για να εδραιώσει την πρόσβαση και να κλιμακώσει τα δικαιώματα:
- Αξιοποίηση κλειδιών μηχανήματος IIS για την απόκτηση τοπικών διαπιστευτηρίων διαχειριστή και πλευρική μετακίνηση μέσω σηράγγων RDP
- Δημιουργία επιμονής μέσω προγραμματισμένων εργασιών και κακόβουλων υπηρεσιών
- Αποθήκευση μνήμης LSASS και εξαγωγή ομάδων μητρώου για την ανύψωση δικαιωμάτων
- Τροποποίηση των κανόνων του τείχους προστασίας του κεντρικού υπολογιστή για να επιτρέπεται η εξερχόμενη κίνηση και να μετατρέπονται τα συστήματα σε κόμβους αναμετάδοσης ShadowPad
Προηγμένη Επαναχρησιμοποίηση Διαπιστευτηρίων και Παραβίαση Τομέα
Σε τουλάχιστον μία περίπτωση που παρατηρήθηκε, οι εισβολείς εντόπισαν μια αποσυνδεδεμένη αλλά ενεργή περίοδο λειτουργίας RDP που ανήκε σε έναν Διαχειριστή Τομέα που είχε πιστοποιηθεί μέσω Ελέγχου Ταυτότητας Επιπέδου Δικτύου με εφεδρικό NTLMv2. Επειδή η περίοδος λειτουργίας παρέμεινε αποσυνδεδεμένη αλλά δεν τερματίστηκε, ευαίσθητο υλικό διαπιστευτηρίων παρέμενε στη μνήμη LSASS. Αφού απέκτησε πρόσβαση σε επίπεδο SYSTEM, η Ink Dragon εξήγαγε το διακριτικό και το επαναχρησιμοποίησε για να εκτελέσει πιστοποιημένες λειτουργίες SMB, να γράψει σε κοινόχρηστα στοιχεία διαχειριστή και να αφαιρέσει το NTDS.dit και τις ομάδες μητρώου.
Ένα οικοσύστημα αρθρωτής επιμονής
Αντί να βασίζεται σε μία μόνο κερκόπορτα, το Ink Dragon χρησιμοποιεί μια συλλογή εξειδικευμένων στοιχείων για να διατηρεί μακροπρόθεσμη πρόσβαση. Τα εργαλεία που παρατηρούνται περιλαμβάνουν:
- ShadowPad Loader για την αποκρυπτογράφηση και εκτέλεση της βασικής μονάδας ShadowPad στη μνήμη
- CDBLoader, το οποίο καταχράται το πρόγραμμα εντοπισμού σφαλμάτων της κονσόλας της Microsoft για να εκτελέσει shellcode και να φορτώσει κρυπτογραφημένα ωφέλιμα φορτία.
- LalsDumper για εξαγωγή μνήμης LSASS
- 032Loader για αποκρυπτογράφηση και εκτέλεση πρόσθετων ωφέλιμων φορτίων
- FINALDRAFT, ένα εκσυγχρονισμένο εργαλείο απομακρυσμένης διαχείρισης που κάνει κατάχρηση του Outlook και του Microsoft Graph για εντολές και έλεγχο
Εξέλιξη του FINALDRAFT
Η ομάδα ανέπτυξε πρόσφατα μια νέα παραλλαγή FINALDRAFT σχεδιασμένη για μεγαλύτερη μυστικότητα και ταχύτερη εξαγωγή δεδομένων. Εισάγει προηγμένες μεθόδους αποφυγής, υποστηρίζει την παράδοση ωφέλιμου φορτίου σε πολλαπλά στάδια και επιτρέπει την μυστική πλευρική κίνηση. Οι εντολές παραδίδονται ως κωδικοποιημένα έγγραφα που τοποθετούνται στο γραμματοκιβώτιο του θύματος, τα οποία το εμφύτευμα ανακτά, αποκρυπτογραφεί και εκτελεί μέσω ενός αρθρωτού πλαισίου εντολών.
Επικάλυψη με άλλους παράγοντες απειλής
Οι ερευνητές έχουν επίσης εντοπίσει ίχνη μιας άλλης ομάδας που συνδέεται με την Κίνα, της REF3927, γνωστής και ως RudePanda, σε διάφορα περιβάλλοντα που έχουν παραβιαστεί από το Ink Dragon. Δεν υπάρχουν στοιχεία συντονισμού μεταξύ των δύο και η επικάλυψη πιστεύεται ότι προέρχεται από το γεγονός ότι και οι δύο παράγοντες εκμεταλλεύονται παρόμοιους αρχικούς φορείς πρόσβασης αντί να μοιράζονται υποδομές ή λειτουργίες.
Ένα νέο μοντέλο απειλής για τους υπερασπιστές
Το Ink Dragon θολώνει την παραδοσιακή γραμμή μεταξύ μολυσμένων κεντρικών υπολογιστών και υποδομής διοίκησης. Κάθε παραβιασμένο σύστημα γίνεται ένας λειτουργικός κόμβος σε ένα πλέγμα που ελέγχεται από τον εισβολέα και επεκτείνεται με κάθε νέο θύμα. Για τους υπερασπιστές, αυτό σημαίνει ότι ο περιορισμός δεν μπορεί να επικεντρωθεί αποκλειστικά σε μεμονωμένα συστήματα. Η αποτελεσματική διακοπή απαιτεί τον εντοπισμό και την αποσυναρμολόγηση ολόκληρης της αλυσίδας αναμετάδοσης. Η χρήση του ShadowPad από το Ink Dragon, που επικεντρώνεται στην αναμετάδοση, αντιπροσωπεύει μία από τις πιο ώριμες εφαρμογές που έχουν παρατηρηθεί μέχρι στιγμής, μετατρέποντας αποτελεσματικά τα ίδια τα δίκτυα των θυμάτων στη ραχοκοκαλιά μακροπρόθεσμων, πολυοργανωτικών εκστρατειών κατασκοπείας.
