FINALDRAFT-takaovi
Jewelbugiksi yleisesti kutsuttu uhkatoimija on tehostanut keskittymistään eurooppalaisiin hallitusorganisaatioihin heinäkuusta 2025 lähtien, mutta on edelleen jatkanut aktiivisia operaatioitaan Kaakkois-Aasian ja Etelä-Amerikan kohteita vastaan. Tutkijat seuraavat tätä toimintaryppää nimellä Ink Dragon, ryhmä, joka tunnetaan laajemmassa turvallisuusyhteisössä myös nimillä CL-STA-0049, Earth Alux ja REF7707. Toimijan arvioidaan olevan Kiinan kanssa liittoutunut, ja se on osoittanut jatkuvaa toimintaa ainakin maaliskuusta 2023 lähtien.
Sisällysluettelo
Useita identiteettejä, yksi koordinoitu klusteri
Ink Dragonin kampanjat heijastavat kypsää ja kurinalaista tunkeutumiskykyä. Sen operaattorit yhdistävät vahvan ohjelmistokehitysosaamisen toistettaviin operatiivisiin toimintasuunnitelmiin ja luottavat usein alustan sisäänrakennettuihin apuohjelmiin yhdistääkseen haitallisen toiminnan lailliseen yritystietojärjestelmään. Tämä tahallinen kaupankäynti lisää merkittävästi huomaamattomuutta ja vaikeuttaa havaitsemista.
Laajuus, tavoitteet ja jatkuva vaikutus
Kampanja on edelleen aktiivinen ja on jo vaikuttanut useisiin kymmeniin uhreihin. Vaikutuksen kohteena olevat organisaatiot kattavat valtion virastoja ja televiestintäoperaattoreita kaikkialla Euroopassa, Aasiassa ja Afrikassa. Uhrien laajuus korostaa sekä toimijan infrastruktuurin skaalautuvuutta että sen strategista kiinnostusta arvokkaisiin verkkoihin.
Varhainen näkyvyys ja keskeiset haittaohjelmaperheet
Julkinen tieto Ink Dragonista tuli esiin helmikuussa 2025, kun tutkijat dokumentoivat sen käyttäneen FINALDRAFT-takaporttia, joka tunnetaan myös nimellä Squidoor. Tämä haittaohjelma tukee sekä Windows- että Linux-ympäristöjä. Viime aikoina ryhmä yhdistettiin pitkittyneeseen, viisi kuukautta kestäneeseen tunkeutumiseen venäläiseen IT-palveluntarjoajaan, mikä korostaa sen kykyä ylläpitää pitkäaikaista, salaista pääsyä.
Alkuperäinen käyttöoikeus ja hyötykuorman toimitus
Ink Dragon tyypillisesti pääsee markkinoille hyödyntämällä haavoittuvia, internetiin kytkettyjä verkkosovelluksia. Näitä heikkouksia käytetään hyväksi verkkokuorien käyttöönottoon, jotka toimivat sitten lisätyökalujen, kuten VARGEITin ja Cobalt Striken, käynnistysalustana. Nämä hyötykuormat tukevat komento- ja hallintaviestintää, sisäistä tiedustelua, sivuttaisliikettä, puolustusten väistämistä ja tietovarkauksia.
Pilvi- ja laillisten palveluiden väärinkäyttö
Ryhmän toissijaisten takaporttien joukossa on NANOREMOTE, joka hyödyntää Google Drive -rajapintaa tiedostojen vaihtamiseen tartunnan saaneiden isäntien ja hyökkääjän hallitseman infrastruktuurin välillä. Työkalujen valinta vaikuttaa harkitulta ja tilannesidonnaiselta, mikä viittaa siihen, että operaattorit räätälöivät käyttöönotot uhriympäristöön ja suosivat tekniikoita, jotka muistuttavat normaaleja, luotettavia liikennemalleja.
ViewState-hyväksyntä ja C2-infrastruktuurin kaappaus
Ink Dragonin käsikirjan määrittelevä tekniikka on heikkojen tai väärin hallittujen ASP.NET-koneavainten hyödyntäminen. Väärinkäyttämällä IIS- ja SharePoint-palvelimien ViewState-deserialisointivirheitä toimija asentaa mukautetun ShadowPad IIS Listener -moduulin. Tämä muuttaa vaarantuneet palvelimet hyökkääjän komento- ja hallintaverkon aktiivisiksi osiksi, jolloin ne voivat välittää liikennettä ja komentoja ja parantaa merkittävästi ongelmien sietokykyä.
Paikallisesta tietomurrosta globaaliin välitysverkkoon
Tämä arkkitehtuuri mahdollistaa liikenteen reitittämisen paitsi syvemmälle yksittäiseen organisaatioon, myös täysin erillisten uhriverkkojen kautta. Tämän seurauksena yhdestä vaarantuneesta palvelimesta voi hiljaisesti tulla välittäjä laajemmassa, monikerroksisessa infrastruktuurissa. Kuuntelijamoduuli itsessään tukee etäkomentojen suorittamista, antaen operaattoreille suoran hallinnan tiedustelulle ja hyötykuormien valmistelulle.
Hyväksikäytön jälkeiset ja etuoikeuksien eskalointitaktiikat
ViewState-ongelmien lisäksi Ink Dragon on aseistanut ToolShell SharePoint -haavoittuvuuksia web-komentotulkkien käyttöönottoa varten. Alkuperäisen murron jälkeen toimija suorittaa tyypillisesti useita toimia käyttöoikeuksien vakiinnuttamiseksi ja oikeuksien laajentamiseksi:
- IIS-koneavainten hyödyntäminen paikallisten järjestelmänvalvojan tunnistetietojen hankkimiseen ja lateraaliseen liikkumiseen RDP-tunneleiden kautta
- Pysyvyyden luominen ajoitettujen tehtävien ja haitallisten palveluiden avulla
- LSASS-muistin tyhjentäminen ja rekisterirakenteiden purkaminen oikeuksien laajentamiseksi
- Isännän palomuurisääntöjen muuttaminen lähtevän liikenteen sallimiseksi ja järjestelmien muuntamiseksi ShadowPad-välityssolmuiksi
Edistynyt tunnistetietojen uudelleenkäyttö ja verkkotunnuksen vaarantuminen
Ainakin yhdessä havaitussa tapauksessa hyökkääjät tunnistivat irti kytkeytyneen mutta aktiivisen RDP-istunnon, joka kuului verkkotunnuksen järjestelmänvalvojalle, joka oli todennettu verkkotason todennuksella ja NTLMv2-varaprotokollalla. Koska istunto pysyi uloskirjautuneena, mutta sitä ei lopetettu, arkaluonteisia tunnistetietoja säilyi LSASS-muistissa. Saatuaan järjestelmätason käyttöoikeudet Ink Dragon poimi tunnuksen ja käytti sitä uudelleen todennettujen SMB-toimintojen suorittamiseen, järjestelmänvalvojan jakoihin kirjoittamiseen sekä NTDS.dit- ja rekisterirakenteiden purkamiseen.
Modulaarinen pysyvyysekosysteemi
Yhden takaoven sijaan Ink Dragon käyttää kokoelmaa erikoistuneita komponentteja pitkäaikaisen pääsyn ylläpitämiseksi. Havaittuihin työkaluihin kuuluvat:
- ShadowPad Loader ShadowPad-ydinmoduulin salauksen purkamiseen ja suorittamiseen muistissa
- CDBLoader, joka väärinkäyttää Microsoftin konsolin virheenkorjaajaa suorittaakseen komentokoodia ja ladatakseen salattuja hyötykuormia
- LalsDumper LSASS-muistin purkamiseen
- 032Loader lisähyötykuormien salauksen purkamiseen ja suorittamiseen
- FINALDRAFT, modernisoitu etähallintatyökalu, joka väärinkäyttää Outlookia ja Microsoft Graphia komentoihin ja hallintaan
FINALDRAFTin kehitys
Ryhmä on äskettäin ottanut käyttöön uuden FINALDRAFT-variantin, joka on suunniteltu parempaan häiveominaisuuksiin ja nopeampaan tiedonsiirtoon. Se esittelee edistyneitä väistömenetelmiä, tukee monivaiheista hyötykuorman toimitusta ja mahdollistaa salaisen sivuttaisliikkeen. Komennot toimitetaan koodattuina asiakirjoina, jotka sijoitetaan uhrin postilaatikkoon. Implantti hakee, purkaa ja suorittaa nämä asiakirjat modulaarisen komentokehyksen avulla.
Päällekkäisyys muiden uhkatoimijoiden kanssa
Tutkijat ovat myös tunnistaneet jälkiä toisesta Kiinaan liittoutuneesta ryhmästä, REF3927:stä, joka tunnetaan myös nimellä RudePanda, useissa Ink Dragonin vaarantamissa ympäristöissä. Näiden kahden välisestä koordinoinnista ei ole näyttöä, ja päällekkäisyyden uskotaan johtuvan siitä, että molemmat toimijat hyödyntävät samankaltaisia alkuperäisiä pääsyvektoreita sen sijaan, että jakaisivat infrastruktuuria tai toimintoja.
Uusi uhkamalli puolustajille
Ink Dragon hämärtää perinteistä rajaa tartunnan saaneiden isäntien ja komentoinfrastruktuurin välillä. Jokaisesta vaarantuneesta järjestelmästä tulee toiminnallinen solmu hyökkääjän hallitsemassa verkossa, joka laajenee jokaisen uuden uhrin myötä. Puolustajien kannalta tämä tarkoittaa, että eristäminen ei voi keskittyä pelkästään yksittäisiin järjestelmiin. Tehokas häirintä edellyttää koko välitysketjun tunnistamista ja purkamista. Ink Dragonin välityskeskeinen ShadowPadin käyttö edustaa yhtä tähän mennessä havaituista kypsimmistä toteutuksista, ja se tekee uhriverkostoista tehokkaasti pitkäaikaisten, usean organisaation vakoilukampanjoiden selkärangan.
