הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית דלת אחורית של FINALDRAFT

דלת אחורית של FINALDRAFT

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT), דלתות אחוריות
לתרגם ל:

גורם האיום המכונה בדרך כלל Jewelbug הגביר את המיקוד שלו בארגונים ממשלתיים אירופאים מאז יולי 2025, תוך שהוא ממשיך לשמור על פעילות פעילה נגד מטרות בדרום מזרח אסיה ודרום אמריקה. חוקרים עוקבים אחר אשכול פעילות זה בשם Ink Dragon, קבוצה הידועה גם בקהילת הביטחון הרחבה יותר כ-CL-STA-0049, Earth Alux ו-REF7707. הגורם מוערך כמזוהה עם סין והפגין פעילות מתמשכת מאז מרץ 2023 לפחות.

זהויות מרובות, אשכול מתואם אחד

קמפיינים של Ink Dragon משקפים יכולת חדירה בוגרת וממושמעת. מפעיליה משלבים כישורי הנדסת תוכנה חזקים עם הוראות תפעול חוזרות ונשנות, תוך הסתמכות תכופה על כלי עזר מובנים בפלטפורמה כדי לשלב פעילות זדונית בטלמטריה ארגונית לגיטימית. מסחר מכוון זה מגביר משמעותית את החמקנות ומסבך את הגילוי.

היקף, יעדים והשפעה מתמשכת

הקמפיין נותר פעיל וכבר השפיע על כמה עשרות קורבנות. הארגונים שנפגעו משתרעים על פני סוכנויות ממשלתיות וספקי טלקומוניקציה ברחבי אירופה, אסיה ואפריקה. היקף הקורבנות מדגיש הן את יכולת ההרחבה של התשתית של הגורם והן את האינטרס האסטרטגי שלו ברשתות בעלות ערך גבוה.

נראות מוקדמת ומשפחות תוכנות זדוניות מרכזיות

התובנה הציבורית לגבי Ink Dragon התגלתה בפברואר 2025, כאשר חוקרים תיעדו את השימוש שלה בדלת האחורית FINALDRAFT, המכונה גם Squidoor. תוכנה זדונית זו תומכת בסביבות Windows ו-Linux כאחד. לאחרונה, הקבוצה נקשרה לפריצה ממושכת בת חמישה חודשים נגד ספק שירותי IT רוסי, מה שהדגיש את יכולתה לשמור על גישה חשאית לטווח ארוך.

גישה ראשונית ומסירת מטען

Ink Dragon בדרך כלל נכנסת לתחום באמצעות ניצול יישומי אינטרנט פגיעים הפונים לאינטרנט. חולשות אלו מנוצלות לרעה לפריסת מעטפות אינטרנט, אשר משמשות לאחר מכן כנקודות שיגור עבור כלים נוספים כגון VARGEIT ו-Cobalt Strike. מטענים אלו תומכים בתקשורת פיקוד ובקרה, סיור פנימי, תנועה רוחבית, התחמקות מהגנות וגניבת נתונים.

ניצול לרעה של ענן ושירותים לגיטימיים

בין הדלתות האחוריות המשניות של הקבוצה נמצאת NANOREMOTE, אשר ממנפת את ממשק ה-API של Google Drive כדי להחליף קבצים בין מארחים נגועים לתשתיות הנשלטות על ידי תוקפים. בחירת הכלים נראית מכוונת ותלוית מצב, דבר המצביע על כך שמפעילים מתאימים פריסות לסביבת הקורבן ומעדיפים טכניקות הדומות לדפוסי תנועה רגילים ואמינים.

ניצול ViewState וחטיפת תשתית C2

טכניקה מכובדת בספר המשחקים של Ink Dragon כרוכה בניצול מפתחות מכונה חלשים או מנוהלים בצורה שגויה של ASP.NET. על ידי ניצול לרעה של פגמי ביטול סידור ViewState בשרתי IIS ו-SharePoint, התוקף מתקין מודול ShadowPad IIS Listener מותאם אישית. זה הופך שרתים שנפגעו לרכיבים פעילים ברשת הפיקוד והבקרה של התוקף, מה שמאפשר להם להעביר תעבורה ופקודות באמצעות פרוקסי ומגדיל משמעותית את החוסן.

מפריצה מקומית לרשת ממסר גלובלית

ארכיטקטורה זו מאפשרת ניתוב תעבורה לא רק עמוק יותר לתוך ארגון יחיד, אלא גם דרך רשתות קורבנות נפרדות לחלוטין. כתוצאה מכך, שרת אחד שנפרץ יכול להפוך בשקט למתווך בתשתית רחבה ורב-שכבתית. מודול המאזין עצמו תומך בביצוע פקודות מרחוק, ומעניק למפעילים שליטה ישירה על סיור ותכנון מטען.

טקטיקות של ניצול והסלמה של זכויות יתר לאחר תחילת המבצע

מעבר לניצול לרעה של ViewState, Ink Dragon השתמשה בנשק של פגיעויות ToolShell SharePoint כדי לפרוס Web Shells. לאחר הפגיעה הראשונית, הגורם בדרך כלל מבצע מספר פעולות כדי לבצר גישה ולהעלות הרשאות:

  • מינוף מפתחות מכונה של IIS כדי לקבל אישורי ניהול מקומיים ולנוע לרוחב דרך מנהרות RDP
  • ביסוס התמדה באמצעות משימות מתוזמנות ושירותים זדוניים
  • ריקון זיכרון LSASS וחילוץ כוורות רישום כדי להעלות הרשאות
  • שינוי כללי חומת האש של המארח כדי לאפשר תעבורה יוצאת ולהמיר מערכות לצמתי ממסר של ShadowPad

שימוש חוזר מתקדם באישורים ופריצת דומיין

לפחות במקרה אחד שנצפה, התוקפים זיהו הפעלת RDP מנותקת אך פעילה השייכת למנהל דומיין שאומת באמצעות אימות ברמת הרשת עם גיבוי NTLMv2. מכיוון שההפעלת נותרה מחוברת אך לא הסתיימה, חומר אישורים רגיש נותר בזיכרון LSASS. לאחר קבלת גישה ברמת SYSTEM, Ink Dragon חילץ את הטוקן והשתמש בו שוב כדי לבצע פעולות SMB מאומתות, לכתוב לשיתופים ניהוליים ולחלץ NTDS.dit וכוורות רישום.

מערכת אקולוגית מודולרית להתמדה

במקום להסתמך על דלת אחורית אחת, Ink Dragon משתמש באוסף של רכיבים מיוחדים כדי לשמור על גישה לטווח ארוך. הכלים שנצפו כוללים:

  • טוען ShadowPad לפענוח והפעלה של מודול הליבה של ShadowPad בזיכרון
  • CDBLoader, אשר מנצל לרעה את ניפוי הבאגים של הקונסולה של מיקרוסופט כדי להפעיל קוד מעטפת ולטעון מטענים מוצפנים
  • LalsDumper לחילוץ זיכרון LSASS
  • 032Loader לפענוח והפעלת מטענים נוספים
  • FINALDRAFT, כלי ניהול מרחוק מודרני שמנצל לרעה את Outlook ו-Microsoft Graph לצורך פקודה ובקרה

    • האבולוציה של FINALDRAFT

    הקבוצה פרסה לאחרונה גרסת FINALDRAFT חדשה שתוכננה לחמקנות רבה יותר ולחילוץ נתונים מהיר יותר. היא מציגה שיטות התחמקות מתקדמות, תומכת בהעברת מטען רב-שלבית ומאפשרת תנועה צידית חשאית. פקודות מועברות כמסמכים מקודדים המונחים בתיבת הדואר של הקורבן, אותם האיתותל מאחזר, מפענח ומבצע באמצעות מסגרת פקודות מודולרית.

    חפיפה עם גורמי איום אחרים

    חוקרים זיהו גם עקבות של קבוצה נוספת המזוהה עם סין, REF3927, המכונה גם RudePanda, במספר סביבות שנפגעו על ידי Ink Dragon. אין ראיות לתיאום בין השניים, והחפיפה נובעת ככל הנראה מכך ששני הגורמים מנצלים וקטורי גישה ראשוניים דומים במקום לחלוק תשתית או פעולות.

    מודל איום חדש למגינים

    Ink Dragon מטשטש את הגבול המסורתי בין מארחים נגועים לתשתית פיקוד. כל מערכת שנפגעה הופכת לצומת פונקציונלי ברשת הנשלטת על ידי תוקף, אשר מתרחבת עם כל קורבן חדש. עבור מגינים, משמעות הדבר היא שבלימה אינה יכולה להתמקד אך ורק במערכות בודדות. שיבוש יעיל דורש זיהוי ופירוק של כל שרשרת הממסר. השימוש של Ink Dragon ב-ShadowPad, המתמקד בממסרים, מייצג את אחד היישומים הבוגרים ביותר שנצפו עד כה, והופך למעשה את רשתות הקורבנות עצמן לעמוד השדרה של קמפיינים ארוכי טווח ורב-ארגוניים.

    מגמות

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    30,272
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...