FINALDRAFT hátsó ajtó
A Jewelbug néven ismert fenyegető szereplő 2025 júliusa óta fokozta az európai kormányzati szervezetekre irányuló figyelmét, miközben továbbra is aktív műveleteket folytat délkelet-ázsiai és dél-amerikai célpontok ellen. A kutatók ezt a tevékenységi csoportot Ink Dragon néven követik nyomon, amely csoport a tágabb biztonsági közösségben CL-STA-0049, Earth Alux és REF7707 néven is ismert. A szereplőt Kínához kötődőnek tekintik, és legalább 2023 márciusa óta folyamatos tevékenységet mutat.
Tartalomjegyzék
Többszörös identitás, egy összehangolt klaszter
Az Ink Dragon kampányai érett és fegyelmezett behatolási képességet tükröznek. Operátoraik erős szoftvermérnöki készségeket ötvöznek megismételhető operatív kézikönyvekkel, gyakran beépített platformsegédprogramokra támaszkodva, hogy a rosszindulatú tevékenységeket legitim vállalati telemetriába keverjék. Ez a szándékos kereskedési módszer jelentősen növeli a lopakodást és bonyolítja az észlelést.
Hatály, célok és folyamatos hatás
A kampány továbbra is aktív, és már több tucat áldozatot érintett. Az érintett szervezetek kormányzati szerveket és telekommunikációs szolgáltatókat foglalnak magukban Európa-szerte, Ázsiában és Afrikában. Az áldozatok körének széles köre kiemeli mind a szereplő infrastruktúrájának skálázhatóságát, mind a nagy értékű hálózatok iránti stratégiai érdeklődését.
Korai láthatóság és a legfontosabb kártevőcsaládok
Az Ink Dragonnal kapcsolatos információk 2025 februárjában kerültek nyilvánosságra, amikor a kutatók dokumentálták a FINALDRAFT hátsó ajtó, más néven Squidoor használatát. Ez a rosszindulatú program Windows és Linux környezeteket is támogat. A közelmúltban a csoportot egy orosz IT-szolgáltató elleni elhúzódó, öt hónapos behatoláshoz kötötték, ami rávilágított arra, hogy képes hosszú távú, titkos hozzáférést fenntartani.
Kezdeti hozzáférés és hasznos teher szállítása
Az Ink Dragon jellemzően sebezhető, internetre irányuló webes alkalmazások kihasználásával jut be a hálózatba. Ezeket a gyengeségeket kihasználva webes shelleket telepítenek, amelyek aztán további eszközök, például a VARGEIT és a Cobalt Strike indítópontjaiként szolgálnak. Ezek a hasznos terhek támogatják a parancsnoki és irányítási kommunikációt, a belső felderítést, az oldalirányú mozgást, a védelem kijátszását és az adatlopást.
Felhőalapú és legitim szolgáltatásokkal való visszaélés
A csoport másodlagos hátsó kapui közé tartozik a NANOREMOTE, amely a Google Drive API-t használja a fájlok cseréjére a fertőzött gazdagépek és a támadó által ellenőrzött infrastruktúra között. Az eszközválasztás szándékosnak és helyzetfüggőnek tűnik, ami arra utal, hogy az operátorok a telepítéseket az áldozat környezetéhez igazítják, és olyan technikákat részesítenek előnyben, amelyek a normál, megbízható forgalmi mintákhoz hasonlítanak.
ViewState kizsákmányolás és C2 infrastruktúra eltérítése
Az Ink Dragon egyik meghatározó technikája a gyenge vagy rosszul kezelt ASP.NET gépi kulcsok kihasználása. Az IIS és SharePoint szerverek ViewState deszerializációs hibáinak kihasználásával a szereplő egy egyéni ShadowPad IIS Listener modult telepít. Ez a feltört szervereket a támadó parancs- és vezérlőhálózatának aktív összetevőivé alakítja, lehetővé téve számukra a forgalom és a parancsok proxyzását, és jelentősen növelve a rugalmasságot.
A helyi behatolástól a globális továbbító hálózatig
Ez az architektúra lehetővé teszi a forgalom nemcsak egyetlen szervezet mélyebb rétegeibe, hanem teljesen különálló áldozati hálózatokon keresztüli irányítását is. Ennek eredményeként egyetlen feltört szerver csendben közvetítővé válhat egy szélesebb, többrétegű infrastruktúrában. Maga a figyelőmodul támogatja a távoli parancsvégrehajtást, közvetlen irányítást biztosítva az operátoroknak a felderítés és a hasznos adatok előkészítése felett.
Kizsákmányolás utáni és privilégium-eszkalációs taktikák
A ViewState-tel való visszaélésen túl az Ink Dragon a ToolShell SharePoint sebezhetőségeit is fegyverként használta fel webes shell-ek telepítésére. A kezdeti behatolást követően a szereplő jellemzően több műveletet hajt végre a hozzáférés rögzítése és a jogosultságok eszkalálása érdekében:
- IIS gépi kulcsok használata helyi rendszergazdai hitelesítő adatok beszerzéséhez és oldalirányú áthelyezéshez RDP-alagutakon keresztül
- Perzisztencia létrehozása ütemezett feladatok és rosszindulatú szolgáltatások segítségével
- LSASS memória kiíratása és beállításjegyzékbeli struktúrák kibontása a jogosultságok emelése érdekében
- A host tűzfalszabályok módosítása a kimenő forgalom engedélyezéséhez és a rendszerek ShadowPad relécsomópontokká alakításához
Speciális hitelesítő adatok újrafelhasználása és domain feltörése
Legalább egy megfigyelt esetben a támadók azonosítottak egy leválasztott, de aktív RDP-munkamenetet, amely egy hálózati szintű hitelesítéssel és NTLMv2 tartalék hitelesítéssel hitelesített tartományi rendszergazdához tartozott. Mivel a munkamenet kijelentkezett maradt, de nem fejeződött be, a bizalmas hitelesítő adatok továbbra is megmaradtak az LSASS memóriájában. Miután RENDSZER szintű hozzáférést szerzett, az Ink Dragon kinyerte a tokent, és újra felhasználta hitelesített SMB-műveletek végrehajtásához, adminisztrátori megosztásokra való íráshoz, valamint az NTDS.dit és a beállításjegyzékbeli kaptárak kiszűréséhez.
Moduláris perzisztencia ökoszisztéma
Az Ink Dragon egyetlen hátsó ajtóra való támaszkodás helyett speciális komponensek gyűjteményét használja a hosszú távú hozzáférés fenntartása érdekében. A megfigyelt eszközök a következők:
- ShadowPad Loader a ShadowPad központi moduljának memóriában történő visszafejtéséhez és végrehajtásához
- CDBLoader, amely a Microsoft konzol hibakeresőjét használja fel shellkód végrehajtására és titkosított hasznos adatok betöltésére
- LalsDumper az LSASS memória kinyeréséhez
- 032Loader további hasznos adatok dekódolásához és futtatásához
- FINALDRAFT, egy modernizált távoli adminisztrációs eszköz, amely az Outlookot és a Microsoft Graphot használja parancs- és vezérlési célokra
A FINALDRAFT fejlődése
A csoport nemrégiben egy új FINALDRAFT variánst vetett be, amelyet a nagyobb lopakodás és a gyorsabb adatlopás érdekében terveztek. Fejlett kitérési módszereket vezet be, támogatja a többlépcsős hasznos teher kézbesítését, és lehetővé teszi a titkos oldalirányú mozgást. A parancsok kódolt dokumentumokként kerülnek az áldozat postaládájába, amelyeket az implantátum egy moduláris parancskeretrendszeren keresztül lekér, visszafejt és végrehajt.
Átfedés más fenyegető szereplőkkel
A nyomozók egy másik, Kínához köthető csoport, a REF3927, más néven RudePanda nyomait is azonosították több, az Ink Dragon által feltört környezetben. Nincs bizonyíték a kettő közötti koordinációra, és az átfedés vélhetően abból fakad, hogy mindkét szereplő hasonló kezdeti hozzáférési vektorokat használ ki, ahelyett, hogy megosztaná az infrastruktúrát vagy a műveleteket.
Új fenyegetési modell a védők számára
Az Ink Dragon elmossa a hagyományos határvonalat a fertőzött gépek és a parancsinfrastruktúra között. Minden feltört rendszer funkcionális csomóponttá válik egy támadó által irányított hálóban, amely minden új áldozattal bővül. A védők számára ez azt jelenti, hogy az elszigetelés nem összpontosíthat kizárólag az egyes rendszerekre. A hatékony zavaráshoz a teljes továbbító lánc azonosítása és lebontása szükséges. Az Ink Dragon továbbítóközpontú ShadowPad használata az egyik legkiforrottabb eddig megfigyelt megvalósítás, amely gyakorlatilag az áldozati hálózatokat a hosszú távú, több szervezetet felölelő kémkedési kampányok gerincévé teszi.
