Ponuda s popustom na više licenci
Baza prijetnji Malware FINALDRAFT Stražnja vrata

FINALDRAFT Stražnja vrata

Do Mezo. Malware, Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:

Prijetnja poznata kao Jewelbug pojačala je svoj fokus na europske vladine organizacije od srpnja 2025., dok je i dalje održavala aktivne operacije protiv ciljeva u jugoistočnoj Aziji i Južnoj Americi. Istraživači prate ovaj klaster aktivnosti kao Ink Dragon, grupu poznatu u široj sigurnosnoj zajednici kao CL-STA-0049, Earth Alux i REF7707. Procjenjuje se da je akter povezan s Kinom i da pokazuje kontinuiranu aktivnost barem od ožujka 2023.

Višestruki identiteti, jedan koordinirani klaster

Kampanje tvrtke Ink Dragon odražavaju zrelu i discipliniranu sposobnost upada. Njegovi operateri kombiniraju snažne vještine softverskog inženjerstva s ponovljivim operativnim planovima, često se oslanjajući na ugrađene uslužne programe platforme kako bi zlonamjerne aktivnosti spojili u legitimnu telemetriju poduzeća. Ova namjerna vještina značajno povećava prikrivenost i komplicira otkrivanje.

Opseg, ciljevi i kontinuirani utjecaj

Kampanja je i dalje aktivna i već je pogodila nekoliko desetaka žrtava. Pogođene organizacije obuhvaćaju vladine agencije i telekomunikacijske pružatelje usluga diljem Europe, Azije i Afrike. Širina žrtava naglašava skalabilnost infrastrukture aktera i njegov strateški interes za visokovrijedne mreže.

Rana vidljivost i ključne porodice zlonamjernog softvera

Javni uvid u Ink Dragon pojavio se u veljači 2025., kada su istraživači dokumentirali njegovu upotrebu FINALDRAFT backdoora, poznatog i kao Squidoor. Ovaj zlonamjerni softver podržava i Windows i Linux okruženja. Nedavno je grupa povezana s dugotrajnim, petomjesečnim upadom u ruskog pružatelja IT usluga, što je istaknulo njezinu sposobnost održavanja dugoročnog, tajnog pristupa.

Početni pristup i isporuka korisnog tereta

Ink Dragon obično ulazi iskorištavanjem ranjivih web aplikacija okrenutih prema internetu. Ove slabosti se zloupotrebljavaju za postavljanje web ljuski, koje zatim služe kao točke lansiranja dodatnih alata poput VARGEIT-a i Cobalt Strikea. Ovi korisni tereti podržavaju komunikaciju zapovijedanja i kontrole, unutarnje izviđanje, lateralno kretanje, izbjegavanje obrane i krađu podataka.

Zlouporaba oblaka i legitimnih usluga

Među sekundarnim backdoorovima grupe je NANOREMOTE, koji koristi Google Drive API za razmjenu datoteka između zaraženih hostova i infrastrukture koju kontrolira napadač. Odabir alata čini se namjernim i situacijskim, što sugerira da operateri prilagođavaju implementacije okruženju žrtve i favoriziraju tehnike koje nalikuju normalnim, pouzdanim obrascima prometa.

Iskorištavanje ViewState-a i otmica C2 infrastrukture

Ključna tehnika u priručniku Ink Dragona uključuje iskorištavanje slabih ili loše upravljanih ASP.NET strojnih ključeva. Zloupotrebom nedostataka deserijalizacije ViewStatea u IIS i SharePoint poslužiteljima, napadač instalira prilagođeni modul ShadowPad IIS Listener. To pretvara kompromitirane poslužitelje u aktivne komponente napadačeve mreže za upravljanje i kontrolu, omogućujući im proxy promet i naredbe te značajno povećavajući otpornost.

Od lokalnog proboja do globalne relejne mreže

Ova arhitektura omogućuje usmjeravanje prometa ne samo dublje u jednu organizaciju, već i preko potpuno odvojenih mreža žrtava. Kao rezultat toga, jedan kompromitirani poslužitelj može tiho postati posrednik u široj, višeslojnoj infrastrukturi. Sam modul slušatelja podržava izvršavanje daljinskih naredbi, dajući operaterima izravnu kontrolu nad izviđanjem i postavljanjem korisnog tereta.

Taktike nakon iskorištavanja i eskalacije privilegija

Osim zloupotrebe ViewStatea, Ink Dragon je iskoristio ranjivosti ToolShell SharePointa za postavljanje web ljuski. Nakon početne kompromitacije, napadač obično izvodi nekoliko radnji kako bi osigurao pristup i povećao privilegije:

  • Korištenje IIS strojnih ključeva za dobivanje lokalnih administratorskih vjerodajnica i lateralno kretanje putem RDP tunela
  • Uspostavljanje postojanosti putem planiranih zadataka i zlonamjernih usluga
  • Ispis LSASS memorije i izdvajanje grozdova registra radi povećanja privilegija
  • Promjena pravila vatrozida hosta kako bi se omogućio odlazni promet i pretvorili sustavi u ShadowPad relejne čvorove

Napredna ponovna upotreba vjerodajnica i kompromitiranje domene

U barem jednom uočenom slučaju, napadači su identificirali nepovezanu, ali aktivnu RDP sesiju koja pripada administratoru domene autentificiranom putem mrežne autentifikacije s NTLMv2 zamjenskim protokolom. Budući da je sesija ostala odjavljena, ali nije prekinuta, osjetljivi materijal vjerodajnica ostao je u LSASS memoriji. Nakon što je dobio pristup na razini SISTEMA, Ink Dragon je izdvojio token i ponovno ga upotrijebio za provođenje autentificiranih SMB operacija, pisanje u administratorske dijeljene resurse i uklanjanje NTDS.dit datoteke i grozdova registra.

Modularni ekosustav perzistencije

Umjesto oslanjanja na jedan backdoor, Ink Dragon koristi skup specijaliziranih komponenti za održavanje dugoročnog pristupa. Promatrani alati uključuju:

  • ShadowPad Loader za dešifriranje i izvršavanje ShadowPad osnovnog modula u memoriji
  • CDBLoader, koji zloupotrebljava Microsoftov konzolni debugger za izvršavanje shellcode-a i učitavanje šifriranih sadržaja
  • LalsDumper za izdvajanje LSASS memorije
  • 032Loader za dešifriranje i pokretanje dodatnih korisnih tereta
  • FINALDRAFT, modernizirani alat za udaljenu administraciju koji iskorištava Outlook i Microsoft Graph za naredbe i kontrolu

Evolucija FINALDRAFT-a

Grupa je nedavno implementirala novu varijantu FINALDRAFT-a dizajniranu za veću prikrivenost i brže izvlačenje podataka. Uvodi napredne metode izbjegavanja, podržava višefaznu dostavu korisnog tereta i omogućuje tajno lateralno kretanje. Naredbe se isporučuju kao kodirani dokumenti smješteni u poštanski sandučić žrtve, koje implantat dohvaća, dešifrira i izvršava putem modularnog okvira naredbi.

Preklapanje s drugim prijetnjama

Istražitelji su također identificirali tragove još jedne skupine povezane s Kinom, REF3927, poznate i kao RudePanda, u nekoliko okruženja koje je kompromitirao Ink Dragon. Nema dokaza o koordinaciji između njih dvoje, a vjeruje se da preklapanje proizlazi iz činjenice da oba aktera iskorištavaju slične početne vektore pristupa umjesto da dijele infrastrukturu ili operacije.

Novi model prijetnje za branitelje

Ink Dragon briše tradicionalnu granicu između zaraženih hostova i zapovjedne infrastrukture. Svaki kompromitirani sustav postaje funkcionalni čvor u mreži kojom upravlja napadač, a koja se širi sa svakom novom žrtvom. Za branitelje to znači da se obuzdavanje ne može usredotočiti isključivo na pojedinačne sustave. Učinkovito ometanje zahtijeva identificiranje i demontiranje cijelog lanca releja. Ink Dragonova upotreba ShadowPada usmjerena na releje predstavlja jednu od najzrelijih implementacija do sada uočenih, učinkovito pretvarajući same mreže žrtava u okosnicu dugoročnih špijunskih kampanja s više organizacija.

U trendu

Nagledanije

Učitavam...