FINALDRAFTi tagauks
Ohutegurite tegija, keda tavaliselt nimetatakse Jewelbugiks, on alates 2025. aasta juulist suurendanud oma tähelepanu Euroopa valitsusorganisatsioonidele, jätkates samal ajal aktiivseid operatsioone Kagu-Aasia ja Lõuna-Ameerika sihtmärkide vastu. Teadlased jälgivad seda tegevusklastrit nimega Ink Dragon, mis on laiemas julgeolekuringkondades tuntud ka kui CL-STA-0049, Earth Alux ja REF7707. Tegevust peetakse Hiinaga seotud ja see on näidanud üles püsivat tegevust vähemalt alates 2023. aasta märtsist.
Sisukord
Mitmed identiteedid, üks koordineeritud klaster
Ink Dragoni kampaaniad peegeldavad küpset ja distsiplineeritud sissetungivõimet. Selle operaatorid ühendavad tugevad tarkvaratehnika oskused korratavate operatiivsete strateegiatega, tuginedes sageli sisseehitatud platvormi utiliitidele, et sulandada pahatahtlik tegevus legitiimse ettevõtte telemeetriaga. See tahtlik pettus suurendab oluliselt varjatust ja raskendab avastamist.
Ulatus, eesmärgid ja jätkuv mõju
Kampaania on endiselt aktiivne ja on juba mõjutanud kümneid ohvreid. Mõjutatud organisatsioonide hulka kuuluvad valitsusasutused ja telekommunikatsiooniteenuse pakkujad kogu Euroopas, Aasias ja Aafrikas. Ohvrite laius rõhutab nii tegutseja infrastruktuuri skaleeritavust kui ka strateegilist huvi kõrge väärtusega võrkude vastu.
Varajane nähtavus ja peamised pahavara perekonnad
Avalikkuse teadmised Ink Dragoni kohta kerkisid esile 2025. aasta veebruaris, kui teadlased dokumenteerisid selle FINALDRAFT tagaukse (tuntud ka kui Squidoor) kasutamise. See pahavara toetab nii Windowsi kui ka Linuxi keskkondi. Hiljuti seostati rühmitust pikaajalise, viis kuud kestnud sissetungimisega Venemaa IT-teenuste pakkuja vastu, mis rõhutas nende võimet säilitada pikaajalist salajast juurdepääsu.
Esialgne juurdepääs ja kasuliku koormuse kohaletoimetamine
Ink Dragon pääseb tavaliselt sisse haavatavaid internetile suunatud veebirakendusi ära kasutades. Neid nõrkusi kuritarvitatakse veebikestade juurutamiseks, mis seejärel toimivad täiendavate tööriistade, näiteks VARGEITi ja Cobalt Strike'i, käivituspunktidena. Need kasulikud koormused toetavad juhtimis- ja kontrollside, siseluuret, külgmist liikumist, kaitseliinide möödahiilimist ja andmete vargust.
Pilve- ja seaduslike teenuste kuritarvitamine
Grupi teiseste tagauste hulgas on NANOREMOTE, mis kasutab Google Drive'i API-t failide vahetamiseks nakatunud hostide ja ründaja kontrollitava infrastruktuuri vahel. Tööriistade valik näib olevat tahtlik ja situatsiooniline, mis viitab sellele, et operaatorid kohandavad juurutusi ohvri keskkonnale ja eelistavad tehnikaid, mis sarnanevad tavapäraste ja usaldusväärsete liiklusmustritega.
ViewState’i ärakasutamine ja C2 infrastruktuuri kaaperdamine
Ink Dragoni käsiraamatus on üheks oluliseks tehnikaks nõrkade või valesti hallatud ASP.NET-i masinavõtmete ärakasutamine. IIS-i ja SharePointi serverite ViewState'i deserialiseerimisvigade kuritarvitamise abil installib ründaja kohandatud ShadowPad IIS Listener mooduli. See muudab ohustatud serverid ründaja käskude ja juhtimisvõrgu aktiivseteks komponentideks, võimaldades neil liiklust ja käske vahendada ning suurendades oluliselt vastupidavust.
Kohalikust rikkumisest globaalse edastusvõrguni
See arhitektuur võimaldab liiklust suunata mitte ainult sügavamale ühte organisatsiooni, vaid ka täiesti eraldi ohvrivõrkude kaudu. Selle tulemusel saab ühest ohustatud serverist vaikselt saada vahendaja laiemas, mitmekihilises infrastruktuuris. Kuulajamoodul ise toetab käskude kaugtäitmist, andes operaatoritele otsese kontrolli luure ja kasuliku koormuse edastamise üle.
Ärakasutamise järgne taktika ja privileegide eskaleerimise taktika
Lisaks ViewState'i kuritarvitamisele on Ink Dragon relvana kasutanud ToolShelli SharePointi haavatavusi veebikestade juurutamiseks. Pärast esialgset ohtu sattumist teeb toimija tavaliselt mitu toimingut juurdepääsu kindlustamiseks ja õiguste laiendamiseks:
- IIS-i masinavõtmete kasutamine kohalike administraatori volituste saamiseks ja külgsuunas liikumiseks RDP-tunnelite kaudu
- Püsivuse loomine ajastatud ülesannete ja pahatahtlike teenuste kaudu
- LSASS-mälu tühjendamine ja registritarude lahtipakkimine õiguste tõstmiseks
- Hosti tulemüüri reeglite muutmine väljamineva liikluse lubamiseks ja süsteemide ShadowPad releesõlmedeks teisendamiseks
Täiustatud volituste taaskasutamine ja domeeni kompromiteerimine
Vähemalt ühel vaadeldud juhul tuvastasid ründajad lahtiühendatud, kuid aktiivse RDP-seansi, mis kuulus domeeniadministraatorile, kes oli autentitud võrgutaseme autentimise ja NTLMv2 varumeetodi kaudu. Kuna seanss jäi välja logitud, kuid mitte lõpetatud, jäi tundlik mandaat LSASS-i mällu alles. Pärast SYSTEM-taseme juurdepääsu saamist ekstraheeris Ink Dragon tokeni ja kasutas seda uuesti autentitud SMB-toimingute tegemiseks, administratiivsetele ühiskasutuskohtadele kirjutamiseks ning NTDS.dit-faili ja registritarude filtreerimiseks.
Modulaarne püsivuse ökosüsteem
Ühele tagauksele lootmise asemel kasutab Ink Dragon pikaajalise juurdepääsu säilitamiseks spetsiaalsete komponentide kogumit. Vaadeldavad tööriistad hõlmavad järgmist:
- ShadowPad Loader ShadowPad põhimooduli dekrüpteerimiseks ja käivitamiseks mälus
- CDBLoader, mis kuritarvitab Microsofti konsooli silurit, et käivitada koodi ja laadida krüptitud kasulikke koormusi
- LalsDumper LSASS-mälu väljavõtmiseks
- 032Loader täiendavate kasulike koormuste dekrüpteerimiseks ja käitamiseks
- FINALDRAFT, moderniseeritud kaughaldustööriist, mis kuritarvitab Outlooki ja Microsoft Graphi käskude ja juhtimise jaoks
FINALDRAFTi areng
Hiljuti võttis rühmitus kasutusele uue FINALDRAFT-i variandi, mis on loodud suurema varjatuse ja kiirema andmete väljavoolu tagamiseks. See tutvustab täiustatud varjamismeetodeid, toetab mitmeastmelist kasuliku koormuse kohaletoimetamist ja võimaldab salajast külgmist liikumist. Käsklused edastatakse kodeeritud dokumentidena, mis asetatakse ohvri postkasti, mille implantaat hangib, dekrüpteerib ja täidab modulaarse käskude raamistiku abil.
Kattumine teiste ohuteguritega
Uurijad on tuvastanud mitmes keskkonnas, mille Ink Dragon oli rikkunud, jälgi teisest Hiinaga seotud rühmitusest, REF3927, tuntud ka kui RudePanda. Nende kahe vahelise koordineerimise kohta pole tõendeid ning arvatakse, et kattumine tuleneb sellest, et mõlemad osapooled kasutavad ära sarnaseid esialgseid juurdepääsuvektoreid, mitte ei jaga infrastruktuuri ega tegevust.
Uus ohumudel kaitsjatele
Ink Dragon hägustab traditsioonilist piiri nakatunud hostide ja juhtimisinfrastruktuuri vahel. Igast ohustatud süsteemist saab ründaja kontrollitavas võrgus funktsionaalne sõlm, mis laieneb iga uue ohvriga. Kaitsjate jaoks tähendab see, et ohjeldamine ei saa keskenduda ainult üksikutele süsteemidele. Tõhus häirimine nõuab kogu edastusahela tuvastamist ja lammutamist. Ink Dragoni edastuskeskne ShadowPadi kasutamine on üks seni täheldatud küpsemaid rakendusi, muutes ohvrivõrgustikud ise pikaajaliste, mitme organisatsiooni hõlmavate spionaažikampaaniate selgrooks.
