FINALDRAFT Backdoor

ज्वेलबग के नाम से मशहूर इस आतंकी संगठन ने जुलाई 2025 से यूरोपीय सरकारी संगठनों को निशाना बनाना तेज कर दिया है, साथ ही दक्षिण-पूर्व एशिया और दक्षिण अमेरिका में भी इसके लक्ष्यो के खिलाफ सक्रिय अभियान जारी हैं। शोधकर्ता इस गतिविधि समूह को इंक ड्रैगन के रूप में ट्रैक करते हैं, जिसे व्यापक सुरक्षा समुदाय में CL-STA-0049, अर्थ अलक्स और REF7707 के नाम से भी जाना जाता है। इस संगठन का चीन से जुड़ाव माना जाता है और इसने कम से कम मार्च 2023 से लगातार सक्रियता दिखाई है।

अनेक पहचानें, एक समन्वित समूह

इंक ड्रैगन के अभियान एक परिपक्व और अनुशासित घुसपैठ क्षमता को दर्शाते हैं। इसके संचालक मजबूत सॉफ्टवेयर इंजीनियरिंग कौशल को दोहराए जाने योग्य परिचालन रणनीतियों के साथ जोड़ते हैं, और अक्सर अंतर्निहित प्लेटफ़ॉर्म यूटिलिटीज़ का उपयोग करके दुर्भावनापूर्ण गतिविधि को वैध एंटरप्राइज़ टेलीमेट्री में मिला देते हैं। यह सुनियोजित कार्यप्रणाली गोपनीयता को काफी बढ़ाती है और पता लगाना मुश्किल बना देती है।

कार्यक्षेत्र, लक्ष्य और सतत प्रभाव

यह अभियान अभी भी सक्रिय है और इससे पहले ही कई दर्जन पीड़ित प्रभावित हो चुके हैं। प्रभावित संगठनों में यूरोप, एशिया और अफ्रीका की सरकारी एजेंसियां और दूरसंचार प्रदाता शामिल हैं। पीड़ितों की व्यापकता इस बात को रेखांकित करती है कि इस संगठन का ढांचा कितना व्यापक है और उच्च-मूल्य वाले नेटवर्कों में इसकी रणनीतिक रुचि कितनी है।

प्रारंभिक पहचान और प्रमुख मैलवेयर परिवार

इंक ड्रैगन के बारे में सार्वजनिक जानकारी फरवरी 2025 में सामने आई, जब शोधकर्ताओं ने स्क्विडूर के नाम से जाने जाने वाले फाइनलड्राफ्ट बैकडोर के इसके उपयोग का दस्तावेजीकरण किया। यह मैलवेयर विंडोज और लिनक्स दोनों वातावरणों को सपोर्ट करता है। हाल ही में, इस समूह को एक रूसी आईटी सेवा प्रदाता के खिलाफ पांच महीने तक चले लंबे घुसपैठ से जोड़ा गया, जिससे लंबे समय तक गुप्त रूप से पहुंच बनाए रखने की इसकी क्षमता उजागर हुई।

प्रारंभिक पहुँच और पेलोड वितरण

इंक ड्रैगन आमतौर पर कमजोर, इंटरनेट से जुड़ी वेब एप्लीकेशन्स का फायदा उठाकर घुसपैठ करता है। इन कमजोरियों का दुरुपयोग करके वेब शेल तैनात किए जाते हैं, जो फिर VARGEIT और कोबाल्ट स्ट्राइक जैसे अतिरिक्त टूलिंग के लिए लॉन्च पॉइंट का काम करते हैं। ये पेलोड कमांड-एंड-कंट्रोल संचार, आंतरिक जासूसी, पार्श्व गतिविधि, सुरक्षा प्रणालियों से बचने और डेटा चोरी में सहायक होते हैं।

क्लाउड और वैध सेवाओं का दुरुपयोग

इस समूह के द्वितीयक बैकडोर में से एक NANOREMOTE है, जो संक्रमित होस्ट और हमलावर-नियंत्रित बुनियादी ढांचे के बीच फ़ाइलों का आदान-प्रदान करने के लिए Google ड्राइव API का उपयोग करता है। टूल का चयन जानबूझकर और परिस्थितिजन्य प्रतीत होता है, जिससे पता चलता है कि ऑपरेटर पीड़ित वातावरण के अनुसार तैनाती को अनुकूलित करते हैं और सामान्य, विश्वसनीय ट्रैफ़िक पैटर्न से मिलती-जुलती तकनीकों को प्राथमिकता देते हैं।

व्यूस्टेट एक्सप्लॉयटेशन और C2 इन्फ्रास्ट्रक्चर हाइजैकिंग

इंक ड्रैगन की रणनीति में एक अहम तकनीक ASP.NET मशीन कीज़ की कमज़ोरियों या कुप्रबंधन का फायदा उठाना है। IIS और SharePoint सर्वरों में ViewState डीसीरियलाइज़ेशन खामियों का दुरुपयोग करके, हमलावर एक कस्टम ShadowPad IIS Listener मॉड्यूल स्थापित करता है। इससे प्रभावित सर्वर हमलावर के कमांड-एंड-कंट्रोल नेटवर्क के सक्रिय घटक बन जाते हैं, जिससे वे प्रॉक्सी ट्रैफ़िक और कमांड भेज सकते हैं और सुरक्षा में काफ़ी वृद्धि कर सकते हैं।

स्थानीय उल्लंघन से लेकर वैश्विक रिले नेटवर्क तक

यह आर्किटेक्चर ट्रैफ़िक को न केवल किसी एक संगठन के भीतर गहराई तक, बल्कि पूरी तरह से अलग-अलग पीड़ित नेटवर्कों के पार भी रूट करने की अनुमति देता है। परिणामस्वरूप, एक समझौता किया गया सर्वर चुपचाप एक व्यापक, बहु-स्तरीय बुनियादी ढांचे में मध्यस्थ बन सकता है। लिसनर मॉड्यूल स्वयं रिमोट कमांड निष्पादन का समर्थन करता है, जिससे ऑपरेटरों को टोही और पेलोड स्टेजिंग के लिए सीधा नियंत्रण मिलता है।

शोषण के बाद और विशेषाधिकार वृद्धि की रणनीतियाँ

ViewState के दुरुपयोग के अलावा, Ink Dragon ने वेब शेल तैनात करने के लिए ToolShell SharePoint की कमजोरियों का हथियार के रूप में इस्तेमाल किया है। शुरुआती हमले के बाद, हमलावर आमतौर पर पहुंच को मजबूत करने और विशेषाधिकारों को बढ़ाने के लिए कई कार्रवाइयां करता है:

• स्थानीय प्रशासनिक क्रेडेंशियल प्राप्त करने और आरडीपी टनल के माध्यम से पार्श्व स्थानांतरण करने के लिए आईआईएस मशीन कुंजियों का उपयोग करना।
• निर्धारित कार्यों और दुर्भावनापूर्ण सेवाओं के माध्यम से निरंतरता स्थापित करना
• विशेषाधिकार बढ़ाने के लिए LSASS मेमोरी को डंप करना और रजिस्ट्री हाइव्स को निकालना
• आउटबाउंड ट्रैफ़िक की अनुमति देने और सिस्टम को शैडोपैड रिले नोड्स में बदलने के लिए होस्ट फ़ायरवॉल नियमों में बदलाव करना।

उन्नत क्रेडेंशियल पुन: उपयोग और डोमेन समझौता

कम से कम एक मामले में, हमलावरों ने एक डोमेन एडमिनिस्ट्रेटर के डिस्कनेक्टेड लेकिन सक्रिय RDP सेशन की पहचान की, जो नेटवर्क लेवल ऑथेंटिकेशन (NTLMv2) के माध्यम से प्रमाणित था। चूंकि सेशन लॉग ऑफ तो था लेकिन समाप्त नहीं हुआ था, इसलिए संवेदनशील क्रेडेंशियल LSASS मेमोरी में सुरक्षित रहे। सिस्टम-स्तर की पहुँच प्राप्त करने के बाद, इंक ड्रैगन ने टोकन निकाला और उसका उपयोग प्रमाणित SMB ऑपरेशन करने, एडमिनिस्ट्रेटिव शेयर्स में लिखने और NTDS.dit और रजिस्ट्री हाइव्स से डेटा निकालने के लिए किया।

एक मॉड्यूलर निरंतरता पारिस्थितिकी तंत्र

किसी एक बैकडोर पर निर्भर रहने के बजाय, इंक ड्रैगन दीर्घकालिक पहुंच बनाए रखने के लिए विशेष घटकों के संग्रह का उपयोग करता है। देखे गए टूलिंग में शामिल हैं:

• ShadowPad कोर मॉड्यूल को मेमोरी में डिक्रिप्ट और निष्पादित करने के लिए ShadowPad लोडर

• CDBLoader, जो Microsoft के कंसोल डीबगर का दुरुपयोग करके शेलकोड को निष्पादित करता है और एन्क्रिप्टेड पेलोड लोड करता है।

• LSASS मेमोरी निकालने के लिए LalsDumper का उपयोग किया जाता है।

• अतिरिक्त पेलोड को डिक्रिप्ट करने और चलाने के लिए 032 लोडर

• FINALDRAFT एक आधुनिक रिमोट एडमिनिस्ट्रेशन टूल है जो कमांड-एंड-कंट्रोल के लिए Outlook और Microsoft Graph का दुरुपयोग करता है।

अंतिम मसौदे का विकास

इस समूह ने हाल ही में FINALDRAFT का एक नया संस्करण तैनात किया है, जिसे अधिक गुप्तता और तेज़ डेटा निकासी के लिए डिज़ाइन किया गया है। यह उन्नत बचाव विधियों को अपनाता है, बहु-चरणीय पेलोड वितरण का समर्थन करता है, और गुप्त पार्श्वीय गतिविधि को सक्षम बनाता है। आदेश पीड़ित के मेलबॉक्स में रखे गए एन्कोडेड दस्तावेज़ों के रूप में भेजे जाते हैं, जिन्हें इम्प्लांट एक मॉड्यूलर कमांड फ्रेमवर्क के माध्यम से प्राप्त करता है, डिक्रिप्ट करता है और निष्पादित करता है।

अन्य खतरा पैदा करने वाले तत्वों के साथ ओवरलैप

जांचकर्ताओं ने इंक ड्रैगन द्वारा प्रभावित कई वातावरणों में चीन समर्थित एक अन्य समूह, REF3927, जिसे रूडपांडा के नाम से भी जाना जाता है, के निशान भी पाए हैं। दोनों समूहों के बीच समन्वय का कोई सबूत नहीं है, और यह माना जाता है कि यह समानता दोनों समूहों द्वारा बुनियादी ढांचे या संचालन को साझा करने के बजाय समान प्रारंभिक पहुंच माध्यमों का उपयोग करने के कारण है।

रक्षकों के लिए एक नया खतरा मॉडल

इंक ड्रैगन संक्रमित होस्ट और कमांड इंफ्रास्ट्रक्चर के बीच की पारंपरिक रेखा को धुंधला कर देता है। प्रत्येक प्रभावित सिस्टम हमलावर द्वारा नियंत्रित एक जाल में एक कार्यात्मक नोड बन जाता है, जो हर नए शिकार के साथ फैलता जाता है। बचाव करने वालों के लिए, इसका मतलब है कि रोकथाम केवल व्यक्तिगत सिस्टम पर केंद्रित नहीं हो सकती। प्रभावी व्यवधान के लिए पूरी रिले श्रृंखला की पहचान करना और उसे नष्ट करना आवश्यक है। इंक ड्रैगन द्वारा शैडोपैड का रिले-केंद्रित उपयोग अब तक देखे गए सबसे परिपक्व कार्यान्वयनों में से एक है, जो प्रभावी रूप से पीड़ित नेटवर्क को ही दीर्घकालिक, बहु-संगठनात्मक जासूसी अभियानों की रीढ़ बना देता है।