ទ្វារក្រោយ FINALDRAFT

ភ្នាក់ងារគំរាមកំហែង ដែលត្រូវបានគេសំដៅជាទូទៅថា Jewelbug បានបង្កើនការផ្តោតអារម្មណ៍របស់ខ្លួនទៅលើអង្គការរដ្ឋាភិបាលអឺរ៉ុបចាប់តាំងពីខែកក្កដា ឆ្នាំ២០២៥ ខណៈពេលដែលនៅតែរក្សាប្រតិបត្តិការសកម្មប្រឆាំងនឹងគោលដៅនៅអាស៊ីអាគ្នេយ៍ និងអាមេរិកខាងត្បូង។ អ្នកស្រាវជ្រាវតាមដានចង្កោមសកម្មភាពនេះថាជា Ink Dragon ដែលជាក្រុមមួយដែលត្រូវបានគេស្គាល់នៅក្នុងសហគមន៍សន្តិសុខទូលំទូលាយថា CL-STA-0049, Earth Alux និង REF7707។ ភ្នាក់ងារនេះត្រូវបានវាយតម្លៃថាមានសម្ព័ន្ធភាពជាមួយប្រទេសចិន ហើយបានបង្ហាញពីសកម្មភាពជាប់លាប់ចាប់តាំងពីយ៉ាងហោចណាស់ខែមីនា ឆ្នាំ២០២៣។

អត្តសញ្ញាណច្រើន ចង្កោមសំរបសំរួលតែមួយ

យុទ្ធនាការរបស់ Ink Dragon ឆ្លុះបញ្ចាំងពីសមត្ថភាពឈ្លានពានដែលមានភាពចាស់ទុំ និងមានវិន័យ។ ប្រតិបត្តិកររបស់វារួមបញ្ចូលគ្នានូវជំនាញវិស្វកម្មកម្មវិធីដ៏រឹងមាំជាមួយនឹងសៀវភៅណែនាំប្រតិបត្តិការដែលអាចធ្វើម្តងទៀតបាន ដែលជារឿយៗពឹងផ្អែកលើឧបករណ៍ប្រើប្រាស់វេទិកាដែលភ្ជាប់មកជាមួយដើម្បីលាយបញ្ចូលគ្នានូវសកម្មភាពព្យាបាទទៅជាទូរមាត្រសហគ្រាសស្របច្បាប់។ ល្បិចកលដោយចេតនានេះបង្កើនការលួចលាក់យ៉ាងខ្លាំង និងធ្វើឱ្យការរកឃើញមានភាពស្មុគស្មាញ។

វិសាលភាព គោលដៅ និងផលប៉ះពាល់ដែលកំពុងបន្ត

យុទ្ធនាការនេះនៅតែសកម្ម ហើយបានប៉ះពាល់ដល់ជនរងគ្រោះរាប់សិបនាក់រួចហើយ។ អង្គការដែលរងផលប៉ះពាល់គ្របដណ្តប់លើភ្នាក់ងាររដ្ឋាភិបាល និងអ្នកផ្តល់សេវាទូរគមនាគមន៍នៅទូទាំងទ្វីបអឺរ៉ុប អាស៊ី និងអាហ្វ្រិក។ ទំហំជនរងគ្រោះគូសបញ្ជាក់ពីទាំងការធ្វើមាត្រដ្ឋាននៃហេដ្ឋារចនាសម្ព័ន្ធរបស់តួអង្គ និងចំណាប់អារម្មណ៍ជាយុទ្ធសាស្ត្ររបស់ខ្លួននៅក្នុងបណ្តាញដែលមានតម្លៃខ្ពស់។

ភាពមើលឃើញដំបូង និងក្រុមគ្រួសារមេរោគសំខាន់ៗ

ការយល់ដឹងជាសាធារណៈអំពី Ink Dragon បានលេចចេញជារូបរាងនៅក្នុងខែកុម្ភៈ ឆ្នាំ២០២៥ នៅពេលដែលអ្នកស្រាវជ្រាវបានចងក្រងឯកសារអំពីការប្រើប្រាស់ទ្វារខាងក្រោយ FINALDRAFT ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Squidoor។ មេរោគនេះគាំទ្រទាំងបរិស្ថាន Windows និង Linux។ ថ្មីៗនេះ ក្រុមនេះត្រូវបានភ្ជាប់ទៅនឹងការឈ្លានពានរយៈពេលប្រាំខែប្រឆាំងនឹងអ្នកផ្តល់សេវា IT របស់រុស្ស៊ី ដែលបង្ហាញពីសមត្ថភាពរបស់ខ្លួនក្នុងការរក្សាការចូលប្រើដោយសម្ងាត់រយៈពេលវែង។

ការចូលប្រើដំបូង និងការដឹកជញ្ជូនបន្ទុក

ជាធម្មតា Ink Dragon ទទួលបានសិទ្ធិចូលប្រើប្រាស់ដោយកេងប្រវ័ញ្ចកម្មវិធីគេហទំព័រដែលងាយរងគ្រោះ និងភ្ជាប់អ៊ីនធឺណិត។ ចំណុចខ្សោយទាំងនេះត្រូវបានរំលោភបំពានដើម្បីដាក់ពង្រាយ web shells ដែលបន្ទាប់មកបម្រើជាចំណុចចាប់ផ្តើមសម្រាប់ឧបករណ៍បន្ថែមដូចជា VARGEIT និង Cobalt Strike។ payloads ទាំងនេះគាំទ្រដល់ការទំនាក់ទំនងបញ្ជា និងត្រួតពិនិត្យ ការឈ្លបយកការណ៍ផ្ទៃក្នុង ចលនាចំហៀង ការគេចវេសពីការការពារ និងការលួចទិន្នន័យ។

ការរំលោភបំពានលើ Cloud និងសេវាកម្មស្របច្បាប់

ក្នុងចំណោមច្រកចូលខាងក្រោយបន្ទាប់បន្សំរបស់ក្រុមនេះគឺ NANOREMOTE ដែលប្រើប្រាស់ Google Drive API ដើម្បីផ្លាស់ប្តូរឯកសាររវាងម៉ាស៊ីនដែលឆ្លងមេរោគ និងហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ ការជ្រើសរើសឧបករណ៍ហាក់ដូចជាចេតនា និងអាស្រ័យលើស្ថានភាព ដែលបង្ហាញថាប្រតិបត្តិករកែសម្រួលការដាក់ពង្រាយទៅតាមបរិស្ថានជនរងគ្រោះ និងពេញចិត្តបច្ចេកទេសដែលស្រដៀងនឹងគំរូចរាចរណ៍ធម្មតា និងគួរឱ្យទុកចិត្ត។

ការកេងប្រវ័ញ្ច ViewState និងការប្លន់ហេដ្ឋារចនាសម្ព័ន្ធ C2

បច្ចេកទេសកំណត់មួយនៅក្នុង Playbook របស់ Ink Dragon ពាក់ព័ន្ធនឹងការកេងប្រវ័ញ្ចកូនសោម៉ាស៊ីន ASP.NET ខ្សោយ ឬមិនបានគ្រប់គ្រង។ តាមរយៈការរំលោភបំពានលើចំណុចខ្វះខាតនៃការលុបចោល ViewState នៅក្នុងម៉ាស៊ីនមេ IIS និង SharePoint អ្នកដើរតួដំឡើងម៉ូឌុល ShadowPad IIS Listener ផ្ទាល់ខ្លួន។ នេះបំលែងម៉ាស៊ីនមេដែលរងការសម្របសម្រួលទៅជាសមាសធាតុសកម្មនៃបណ្តាញបញ្ជា និងត្រួតពិនិត្យរបស់អ្នកវាយប្រហារ ដែលអាចឱ្យពួកគេធ្វើចរាចរណ៍ប្រូកស៊ី និងពាក្យបញ្ជា និងបង្កើនភាពធន់យ៉ាងខ្លាំង។

ពីការបំពានក្នុងស្រុកទៅបណ្តាញបញ្ជូនតសកល

ស្ថាបត្យកម្មនេះអនុញ្ញាតឱ្យចរាចរណ៍ត្រូវបានបញ្ជូនមិនត្រឹមតែចូលទៅក្នុងអង្គការតែមួយប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងឆ្លងកាត់បណ្តាញជនរងគ្រោះដាច់ដោយឡែកពីគ្នាទាំងស្រុងផងដែរ។ ជាលទ្ធផល ម៉ាស៊ីនមេដែលរងការសម្របសម្រួលមួយអាចក្លាយជាអន្តរការីដោយស្ងៀមស្ងាត់នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធពហុស្រទាប់ដ៏ធំទូលាយ។ ម៉ូឌុលស្តាប់ខ្លួនឯងគាំទ្រការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ ដែលផ្តល់ឱ្យប្រតិបត្តិករនូវការគ្រប់គ្រងដោយផ្ទាល់សម្រាប់ការឈ្លបយកការណ៍ និងការរៀបចំបន្ទុក។

យុទ្ធសាស្ត្រក្រោយការកេងប្រវ័ញ្ច និងការកើនឡើងសិទ្ធិពិសេស

ក្រៅពីការរំលោភបំពាន ViewState ក្រុមហ៊ុន Ink Dragon បានប្រើប្រាស់ភាពងាយរងគ្រោះរបស់ ToolShell SharePoint ដើម្បីដាក់ពង្រាយ web shells។ បន្ទាប់ពីការសម្របសម្រួលដំបូង ជាធម្មតាជនល្មើសធ្វើសកម្មភាពជាច្រើនដើម្បីពង្រឹងការចូលប្រើ និងបង្កើនសិទ្ធិ៖

• ការប្រើប្រាស់សោម៉ាស៊ីន IIS ដើម្បីទទួលបានព័ត៌មានបញ្ជាក់អត្តសញ្ញាណរដ្ឋបាលមូលដ្ឋាន និងផ្លាស់ទីទៅចំហៀងតាមរយៈផ្លូវរូងក្រោមដី RDP
• ការបង្កើតភាពស្ថិតស្ថេរតាមរយៈភារកិច្ចដែលបានកំណត់ពេល និងសេវាកម្មព្យាបាទ
• ការបោះចោលអង្គចងចាំ LSASS និងការស្រង់ចេញនូវ hives registry ដើម្បីបង្កើនសិទ្ធិ
• ការផ្លាស់ប្តូរច្បាប់ជញ្ជាំងភ្លើងរបស់ម៉ាស៊ីនដើម្បីអនុញ្ញាតឱ្យមានចរាចរណ៍ចេញ និងបំលែងប្រព័ន្ធទៅជាណូតបញ្ជូនត ShadowPad

ការប្រើប្រាស់ឡើងវិញនូវព័ត៌មានសម្គាល់កម្រិតខ្ពស់ និងការលួចចូលដែន

យ៉ាងហោចណាស់ក្នុងករណីមួយដែលសង្កេតឃើញ អ្នកវាយប្រហារបានកំណត់អត្តសញ្ញាណវគ្គ RDP ដែលផ្តាច់ចេញ ប៉ុន្តែសកម្ម ដែលជាកម្មសិទ្ធិរបស់អ្នកគ្រប់គ្រងដែន ដែលត្រូវបានផ្ទៀងផ្ទាត់តាមរយៈការផ្ទៀងផ្ទាត់កម្រិតបណ្តាញជាមួយនឹងជម្រើស NTLMv2។ ដោយសារតែវគ្គនៅតែត្រូវបានចាកចេញ ប៉ុន្តែមិនត្រូវបានបញ្ចប់ សម្ភារៈព័ត៌មានសម្ងាត់ដ៏រសើបនៅតែមាននៅក្នុងអង្គចងចាំ LSASS។ បន្ទាប់ពីទទួលបានការចូលប្រើកម្រិតប្រព័ន្ធ Ink Dragon បានទាញយកថូខឹន ហើយប្រើវាឡើងវិញដើម្បីធ្វើប្រតិបត្តិការ SMB ដែលបានផ្ទៀងផ្ទាត់ សរសេរទៅកាន់ការចែករំលែករដ្ឋបាល និងច្រោះយក NTDS.dit និង registry hives។

ប្រព័ន្ធអេកូឡូស៊ីនៃការតស៊ូម៉ូឌុល

ជំនួស​ឲ្យ​ការ​ពឹង​ផ្អែក​លើ​ទ្វារ​ក្រោយ​តែ​មួយ Ink Dragon ប្រើប្រាស់​សមាសធាតុ​ឯកទេស​មួយ​ចំនួន​ដើម្បី​រក្សា​ការ​ចូល​ប្រើប្រាស់​រយៈពេល​វែង។ ឧបករណ៍​ដែល​សង្កេត​ឃើញ​រួម​មាន៖

• កម្មវិធីផ្ទុក ShadowPad សម្រាប់ឌិគ្រីប និងប្រតិបត្តិម៉ូឌុលស្នូល ShadowPad នៅក្នុងអង្គចងចាំ

ការវិវត្តន៍នៃ FINALDRAFT

ថ្មីៗនេះ ក្រុមនេះបានដាក់ពង្រាយបំរែបំរួល FINALDRAFT ថ្មីមួយ ដែលត្រូវបានរចនាឡើងសម្រាប់ការលួចលាក់កាន់តែច្រើន និងការលួចយកទិន្នន័យលឿនជាងមុន។ វាណែនាំវិធីសាស្ត្រគេចវេសកម្រិតខ្ពស់ គាំទ្រការចែកចាយបន្ទុកពហុដំណាក់កាល និងអនុញ្ញាតឱ្យមានចលនាចំហៀងដោយសម្ងាត់។ ពាក្យបញ្ជាត្រូវបានបញ្ជូនជាឯកសារដែលបានអ៊ិនកូដដែលដាក់នៅក្នុងប្រអប់សំបុត្ររបស់ជនរងគ្រោះ ដែលការផ្សាំនឹងទាញយក ឌិគ្រីប និងប្រតិបត្តិតាមរយៈក្របខ័ណ្ឌពាក្យបញ្ជាម៉ូឌុល។

ត្រួតស៊ីគ្នាជាមួយអ្នកគំរាមកំហែងផ្សេងទៀត

ក្រុមអ្នកស៊ើបអង្កេតក៏បានកំណត់អត្តសញ្ញាណដាននៃក្រុមមួយផ្សេងទៀតដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិនគឺ REF3927 ដែលត្រូវបានគេស្គាល់ផងដែរថាជា RudePanda នៅក្នុងបរិស្ថានជាច្រើនដែលត្រូវបានសម្របសម្រួលដោយ Ink Dragon។ មិនមានភស្តុតាងនៃការសម្របសម្រួលរវាងអ្នកទាំងពីរនោះទេ ហើយការត្រួតស៊ីគ្នានេះត្រូវបានគេជឿថាបណ្តាលមកពីតួអង្គទាំងពីរកេងប្រវ័ញ្ចវ៉ិចទ័រចូលប្រើដំបូងស្រដៀងគ្នាជាជាងការចែករំលែកហេដ្ឋារចនាសម្ព័ន្ធ ឬប្រតិបត្តិការ។

គំរូគំរាមកំហែងថ្មីសម្រាប់អ្នកការពារ

Ink Dragon ធ្វើឱ្យព្រិលៗនូវខ្សែបន្ទាត់ប្រពៃណីរវាងម៉ាស៊ីនដែលឆ្លងមេរោគ និងហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា។ ប្រព័ន្ធដែលរងការសម្របសម្រួលនីមួយៗក្លាយជាថ្នាំងមុខងារនៅក្នុងសំណាញ់ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលពង្រីកជាមួយជនរងគ្រោះថ្មីម្នាក់ៗ។ សម្រាប់អ្នកការពារ នេះមានន័យថាការទប់ស្កាត់មិនអាចផ្តោតតែលើប្រព័ន្ធនីមួយៗបានទេ។ ការរំខានដែលមានប្រសិទ្ធភាពទាមទារឱ្យមានការកំណត់អត្តសញ្ញាណ និងការរុះរើខ្សែសង្វាក់បញ្ជូនបន្តទាំងមូល។ ការប្រើប្រាស់ ShadowPad ដែលផ្តោតលើការបញ្ជូនបន្តរបស់ Ink Dragon តំណាងឱ្យការអនុវត្តដ៏ចាស់ទុំបំផុតមួយដែលត្រូវបានគេសង្កេតឃើញរហូតមកដល់ពេលនេះ ដោយប្រែក្លាយបណ្តាញជនរងគ្រោះខ្លួនឯងទៅជាឆ្អឹងខ្នងនៃយុទ្ធនាការចារកម្មរយៈពេលវែង និងពហុអង្គការ។