قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار FINALDRAFT Backdoor

FINALDRAFT Backdoor

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT), درهای پشتی
ترجمه به:

این عامل تهدید که عموماً با نام Jewelbug شناخته می‌شود، از ژوئیه ۲۰۲۵ تمرکز خود را بر سازمان‌های دولتی اروپایی افزایش داده است، در حالی که همچنان عملیات فعالی را علیه اهدافی در جنوب شرقی آسیا و آمریکای جنوبی حفظ کرده است. محققان این خوشه فعالیت را با نام Ink Dragon ردیابی می‌کنند، گروهی که در جامعه امنیتی گسترده‌تر با نام‌های CL-STA-0049، Earth Alux و REF7707 نیز شناخته می‌شود. این عامل تهدید، همسو با چین ارزیابی می‌شود و حداقل از مارس ۲۰۲۳ فعالیت پایداری را نشان داده است.

هویت‌های چندگانه، یک خوشه هماهنگ

کمپین‌های Ink Dragon نشان‌دهنده‌ی قابلیت نفوذ بالغ و منظمی هستند. اپراتورهای آن مهارت‌های قوی مهندسی نرم‌افزار را با دستورالعمل‌های عملیاتی تکرارپذیر ترکیب می‌کنند و اغلب با تکیه بر ابزارهای داخلی پلتفرم، فعالیت‌های مخرب را با تله‌متری مشروع سازمانی ترکیب می‌کنند. این ترفند عمدی، پنهان‌کاری را به میزان قابل توجهی افزایش داده و تشخیص را پیچیده می‌کند.

دامنه، اهداف و تأثیر مداوم

این کمپین همچنان فعال است و تاکنون ده‌ها قربانی را تحت تأثیر قرار داده است. سازمان‌های آسیب‌دیده شامل سازمان‌های دولتی و ارائه‌دهندگان خدمات مخابراتی در سراسر اروپا، آسیا و آفریقا می‌شوند. وسعت قربانیان، هم مقیاس‌پذیری زیرساخت‌های این عامل و هم علاقه استراتژیک آن به شبکه‌های با ارزش بالا را برجسته می‌کند.

قابلیت مشاهده اولیه و خانواده‌های بدافزار کلیدی

اطلاعات عمومی در مورد Ink Dragon در فوریه 2025 منتشر شد، زمانی که محققان استفاده آن از درب پشتی FINALDRAFT، که با نام Squidoor نیز شناخته می‌شود، را مستند کردند. این بدافزار از محیط‌های ویندوز و لینوکس پشتیبانی می‌کند. اخیراً، این گروه به یک نفوذ طولانی مدت و پنج ماهه علیه یک ارائه دهنده خدمات فناوری اطلاعات روسی مرتبط دانسته شده است که توانایی آن را در حفظ دسترسی پنهانی و طولانی مدت برجسته می‌کند.

دسترسی اولیه و تحویل بار مفید

Ink Dragon معمولاً با سوءاستفاده از برنامه‌های وب آسیب‌پذیر و متصل به اینترنت، به سیستم‌ها نفوذ می‌کند. این نقاط ضعف برای استقرار پوسته‌های وب مورد سوءاستفاده قرار می‌گیرند که سپس به عنوان نقاط شروع برای ابزارهای اضافی مانند VARGEIT و Cobalt Strike عمل می‌کنند. این پیلودها از ارتباطات فرماندهی و کنترل، شناسایی داخلی، حرکت جانبی، فرار از دفاع‌ها و سرقت داده‌ها پشتیبانی می‌کنند.

سوءاستفاده از فضای ابری و سرویس‌های قانونی

از جمله درهای پشتی ثانویه این گروه، NANOREMOTE است که از API گوگل درایو برای تبادل فایل‌ها بین میزبان‌های آلوده و زیرساخت‌های تحت کنترل مهاجم استفاده می‌کند. انتخاب ابزار به نظر عمدی و موقعیتی است، که نشان می‌دهد اپراتورها استقرارها را متناسب با محیط قربانی تنظیم می‌کنند و تکنیک‌هایی را ترجیح می‌دهند که شبیه الگوهای ترافیکی عادی و قابل اعتماد باشند.

بهره‌برداری از ViewState و ربودن زیرساخت C2

یک تکنیک مشخص در دستورالعمل‌های Ink Dragon شامل سوءاستفاده از کلیدهای ماشین ASP.NET ضعیف یا مدیریت نشده است. با سوءاستفاده از نقص‌های deserialization ViewState در سرورهای IIS و SharePoint، مهاجم یک ماژول شنونده ShadowPad IIS سفارشی نصب می‌کند. این کار سرورهای آسیب‌دیده را به اجزای فعال شبکه فرمان و کنترل مهاجم تبدیل می‌کند و آنها را قادر می‌سازد تا ترافیک و دستورات را پروکسی کنند و انعطاف‌پذیری را به میزان قابل توجهی افزایش دهند.

از نقض محلی تا شبکه رله جهانی

این معماری اجازه می‌دهد تا ترافیک نه تنها به عمق یک سازمان واحد، بلکه در شبکه‌های قربانی کاملاً مجزا نیز هدایت شود. در نتیجه، یک سرور آسیب‌دیده می‌تواند بی‌سروصدا به یک واسطه در یک زیرساخت گسترده‌تر و چندلایه تبدیل شود. خود ماژول شنونده از اجرای دستور از راه دور پشتیبانی می‌کند و به اپراتورها کنترل مستقیم برای شناسایی و مرحله‌بندی بار داده را می‌دهد.

تاکتیک‌های پس از بهره‌برداری و افزایش امتیاز

فراتر از سوءاستفاده از ViewState، Ink Dragon از آسیب‌پذیری‌های ToolShell SharePoint برای استقرار پوسته‌های وب استفاده کرده است. پس از نفوذ اولیه، عامل نفوذ معمولاً چندین اقدام را برای تثبیت دسترسی و افزایش امتیازات انجام می‌دهد:

  • استفاده از کلیدهای ماشین IIS برای به دست آوردن اعتبارنامه‌های مدیریتی محلی و انتقال جانبی از طریق تونل‌های RDP
  • ایجاد پایداری از طریق وظایف زمان‌بندی‌شده و سرویس‌های مخرب
  • تخلیه حافظه LSASS و استخراج کندوهای رجیستری برای افزایش امتیازات
  • تغییر قوانین فایروال میزبان برای مجاز کردن ترافیک خروجی و تبدیل سیستم‌ها به گره‌های رله ShadowPad

استفاده مجدد پیشرفته از اعتبارنامه‌ها و نفوذ به دامنه

حداقل در یک مورد مشاهده‌شده، مهاجمان یک جلسه RDP قطع‌شده اما فعال متعلق به یک مدیر دامنه را که از طریق احراز هویت سطح شبکه با NTLMv2 احراز هویت شده بود، شناسایی کردند. از آنجا که جلسه از سیستم خارج شده اما خاتمه نیافته بود، اطلاعات حساس مربوط به اعتبارنامه‌ها در حافظه LSASS باقی ماند. پس از دستیابی به دسترسی سطح سیستم، Ink Dragon توکن را استخراج کرده و از آن برای انجام عملیات احراز هویت‌شده SMB، نوشتن در اشتراک‌های مدیریتی و استخراج NTDS.dit و رجیستری hives استفاده مجدد کرد.

یک اکوسیستم ماژولار و پایدار

Ink Dragon به جای تکیه بر یک در پشتی واحد، از مجموعه‌ای از اجزای تخصصی برای حفظ دسترسی بلندمدت استفاده می‌کند. ابزارهای مشاهده‌شده شامل موارد زیر است:

  • ShadowPad Loader برای رمزگشایی و اجرای ماژول اصلی ShadowPad در حافظه
  • CDBLoader که از اشکال‌زدای کنسول مایکروسافت برای اجرای shellcode و بارگذاری payloadهای رمزگذاری‌شده سوءاستفاده می‌کند.
  • LalsDumper برای استخراج حافظه LSASS
  • 032Loader برای رمزگشایی و اجرای پیلودهای اضافی
  • FINALDRAFT، یک ابزار مدیریت از راه دور مدرن که از Outlook و Microsoft Graph برای فرماندهی و کنترل سوءاستفاده می‌کند.

تکامل فاینال درفت

این گروه اخیراً نوع جدیدی از FINALDRAFT را مستقر کرده است که برای مخفی‌کاری بیشتر و استخراج سریع‌تر داده‌ها طراحی شده است. این بدافزار روش‌های پیشرفته‌ای برای فرار از حملات ارائه می‌دهد، از تحویل محموله چند مرحله‌ای پشتیبانی می‌کند و امکان حرکت جانبی مخفیانه را فراهم می‌کند. دستورات به صورت اسناد رمزگذاری شده در صندوق پستی قربانی قرار می‌گیرند که ایمپلنت آن را از طریق یک چارچوب فرمان ماژولار بازیابی، رمزگشایی و اجرا می‌کند.

همپوشانی با سایر عوامل تهدید

محققان همچنین ردپای یک گروه دیگر وابسته به چین به نام REF3927 که با نام RudePanda نیز شناخته می‌شود را در چندین محیط آلوده شده توسط Ink Dragon شناسایی کرده‌اند. هیچ مدرکی مبنی بر هماهنگی بین این دو وجود ندارد و اعتقاد بر این است که همپوشانی ناشی از بهره‌برداری هر دو عامل از بردارهای دسترسی اولیه مشابه به جای اشتراک زیرساخت یا عملیات است.

یک مدل تهدید جدید برای مدافعان

Ink Dragon مرز سنتی بین میزبان‌های آلوده و زیرساخت‌های فرماندهی را محو می‌کند. هر سیستم آسیب‌دیده به یک گره عملیاتی در یک شبکه تحت کنترل مهاجم تبدیل می‌شود که با هر قربانی جدید گسترش می‌یابد. برای مدافعان، این بدان معناست که مهار نمی‌تواند صرفاً بر روی سیستم‌های منفرد متمرکز باشد. اختلال مؤثر مستلزم شناسایی و از بین بردن کل زنجیره رله است. استفاده از ShadowPad با محوریت رله توسط Ink Dragon یکی از پخته‌ترین پیاده‌سازی‌های مشاهده شده تاکنون را نشان می‌دهد و عملاً خود شبکه‌های قربانی را به ستون فقرات کمپین‌های جاسوسی بلندمدت و چند سازمانی تبدیل می‌کند.

پرطرفدار

Webmotion.co.in

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
هوشیار ماندن هنگام گشت و گذار در وب ضروری است، زیرا سایت‌های فریبنده و طرح‌های تبلیغاتی تهاجمی همچنان در حال تکامل هستند. عوامل تهدید به طور معمول صفحاتی ایجاد می‌کنند که عملکردهای قانونی را تقلید...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
30,272
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...