FINALDRAFT Backdoor

주얼버그(Jewelbug)로 널리 알려진 위협 행위자는 2025년 7월 이후 유럽 정부 기관에 대한 공격을 강화하는 한편, 동남아시아와 남미의 목표물에 대한 공격도 지속하고 있습니다. 연구원들은 이러한 활동을 잉크 드래곤(Ink Dragon)이라는 이름으로 추적하고 있으며, 이 그룹은 보안 커뮤니티에서 CL-STA-0049, Earth Alux, REF7707 등의 이름으로도 알려져 있습니다. 이 행위자는 중국과 연계된 것으로 평가되며, 적어도 2023년 3월부터 지속적인 활동을 보여왔습니다.

다양한 정체성, 하나의 통합된 집단

잉크 드래곤의 공격 캠페인은 성숙하고 체계적인 침입 능력을 보여줍니다. 공격자들은 뛰어난 소프트웨어 엔지니어링 기술과 반복 가능한 운영 전략을 결합하여, 플랫폼에 내장된 유틸리티를 활용해 악성 활동을 합법적인 기업 원격 측정 데이터에 교묘하게 녹여냅니다. 이러한 치밀한 기법은 은밀성을 크게 높이고 탐지를 어렵게 만듭니다.

범위, 목표 및 지속적인 영향

해당 공격 캠페인은 여전히 진행 중이며 이미 수십 명의 피해자를 발생시켰습니다. 피해를 입은 조직은 유럽, 아시아, 아프리카 전역의 정부 기관과 통신 사업자에 걸쳐 있습니다. 이처럼 광범위한 피해 규모는 공격자의 인프라가 얼마나 확장 가능한지, 그리고 고가치 네트워크에 얼마나 전략적 관심을 갖고 있는지를 여실히 보여줍니다.

초기 탐지 및 주요 악성코드 계열

잉크 드래곤에 대한 정보는 2025년 2월, 연구원들이 스퀴도어(Squidoor)라고도 알려진 FINALDRAFT 백도어를 사용하는 것을 문서화하면서 처음으로 공개되었습니다. 이 멀웨어는 윈도우와 리눅스 환경을 모두 지원합니다. 최근에는 러시아의 한 IT 서비스 제공업체를 대상으로 5개월간 지속된 장기 침입을 감행한 사실이 드러나면서, 장기간 은밀한 접근 권한을 유지할 수 있는 능력을 보여주었습니다.

초기 접근 및 페이로드 전달

Ink Dragon은 일반적으로 인터넷에 노출된 취약한 웹 애플리케이션을 악용하여 시스템에 침입합니다. 이러한 취약점을 이용하여 웹 셸을 배포하고, 이를 통해 VARGEIT 및 Cobalt Strike와 같은 추가 도구를 실행합니다. 이러한 페이로드는 명령 및 제어 통신, 내부 정찰, 횡적 이동, 방어망 회피, 데이터 탈취 등을 지원합니다.

클라우드 및 합법적인 서비스의 오용

해당 그룹의 보조 백도어 중 하나인 NANOREMOTE는 Google Drive API를 활용하여 감염된 호스트와 공격자가 제어하는 인프라 간에 파일을 교환합니다. 도구 선택은 의도적이고 상황에 따라 달라지는 것으로 보이며, 이는 공격자가 피해자의 환경에 맞춰 배포 방식을 조정하고 정상적이고 신뢰할 수 있는 트래픽 패턴과 유사한 기법을 선호함을 시사합니다.

ViewState 악용 및 C2 인프라 하이재킹

Ink Dragon의 공격 전략에서 핵심적인 기법은 취약하거나 잘못 관리된 ASP.NET 머신 키를 악용하는 것입니다. IIS 및 SharePoint 서버의 ViewState 역직렬화 취약점을 이용하여 ShadowPad IIS 리스너 모듈을 설치합니다. 이를 통해 손상된 서버는 공격자의 명령 및 제어 네트워크의 핵심 구성 요소가 되어 트래픽과 명령을 프록시할 수 있게 되고, 시스템의 복원력을 크게 향상시킵니다.

지역적 침해부터 글로벌 중계 네트워크까지

이러한 아키텍처를 통해 트래픽은 단일 조직 내부로 더 깊숙이 침투할 뿐만 아니라 완전히 분리된 피해자 네트워크를 통해서도 라우팅될 수 있습니다. 결과적으로, 하나의 손상된 서버가 더 광범위하고 다층적인 인프라에서 은밀하게 중간 역할을 수행할 수 있습니다. 리스너 모듈 자체는 원격 명령 실행을 지원하여 운영자가 정찰 및 페이로드 준비를 위한 직접적인 제어 권한을 확보할 수 있도록 합니다.

착취 후 권한 확대를 위한 전술

Ink Dragon은 ViewState 악용 외에도 ToolShell SharePoint 취약점을 이용하여 웹 셸을 배포합니다. 초기 침해 후, 공격자는 일반적으로 접근 권한을 강화하고 권한을 상승시키기 위해 다음과 같은 여러 작업을 수행합니다.

• IIS 머신 키를 활용하여 로컬 관리자 자격 증명을 얻고 RDP 터널을 통해 측면 이동을 수행합니다.
• 예약된 작업 및 악성 서비스를 통한 지속성 확보
• LSASS 메모리 덤프 및 레지스트리 하이브 추출을 통해 권한을 상승시키는 방법
• 호스트 방화벽 규칙을 변경하여 아웃바운드 트래픽을 허용하고 시스템을 ShadowPad 릴레이 노드로 전환합니다.

고급 자격 증명 재사용 및 도메인 침해

관찰된 사례 중 적어도 한 건에서 공격자는 NTLMv2 대체 인증을 사용하는 네트워크 수준 인증으로 인증된 도메인 관리자의 연결이 끊어졌지만 활성화된 RDP 세션을 발견했습니다. 해당 세션은 로그아웃된 상태로 유지되었지만 종료되지 않았기 때문에 민감한 자격 증명 정보가 LSASS 메모리에 남아 있었습니다. Ink Dragon은 SYSTEM 수준 액세스 권한을 획득한 후 토큰을 추출하여 이를 재사용하여 인증된 SMB 작업을 수행하고, 관리 공유에 쓰기 작업을 하고, NTDS.dit 및 레지스트리 하이브를 유출했습니다.

모듈형 지속성 생태계

잉크 드래곤은 단일 백도어에 의존하는 대신, 장기적인 접근을 유지하기 위해 여러 특수 구성 요소를 활용합니다. 확인된 도구는 다음과 같습니다.

• ShadowPad 로더는 ShadowPad 코어 모듈을 복호화하고 메모리에서 실행합니다.

• CDBLoader는 마이크로소프트의 콘솔 디버거를 악용하여 셸코드를 실행하고 암호화된 페이로드를 로드하는 악성 프로그램입니다.

• LSASS 메모리 추출용 LalsDumper

• 032Loader는 추가 페이로드를 복호화하고 실행하는 데 사용됩니다.

• FINALDRAFT는 Outlook과 Microsoft Graph를 활용하여 명령 및 제어를 수행하는 현대화된 원격 관리 도구입니다.

FINLDRAFT의 진화

해당 그룹은 최근 은밀성을 높이고 데이터 유출 속도를 강화한 새로운 FINALDRAFT 변종을 배포했습니다. 이 변종은 고급 회피 기법을 도입하고, 다단계 페이로드 전달을 지원하며, 은밀한 횡적 이동을 가능하게 합니다. 명령은 암호화된 문서 형태로 피해자의 사서함에 배치되며, 악성 프로그램은 이를 검색, 복호화한 후 모듈식 명령 체계를 통해 실행합니다.

다른 위협 행위자와의 중복

수사관들은 잉크 드래곤이 침투한 여러 환경에서 중국과 연계된 또 다른 그룹인 REF3927(루드판다라고도 함)의 흔적도 발견했습니다. 두 그룹 간의 공모 증거는 없으며, 이러한 중복은 두 그룹이 인프라나 작전을 공유하기보다는 유사한 초기 침투 경로를 이용했기 때문인 것으로 추정됩니다.

방어자를 위한 새로운 위협 모델

잉크 드래곤은 감염된 호스트와 명령 인프라 사이의 전통적인 경계를 모호하게 만듭니다. 감염된 각 시스템은 공격자가 제어하는 메시 네트워크의 기능적 노드가 되며, 새로운 피해자가 발생할 때마다 네트워크는 확장됩니다. 방어자에게 있어 이는 개별 시스템에만 집중해서는 효과적인 차단이 불가능하다는 것을 의미합니다. 효과적인 차단을 위해서는 전체 릴레이 체인을 식별하고 해체해야 합니다. 잉크 드래곤의 섀도우패드(ShadowPad) 릴레이 중심 활용 방식은 지금까지 관찰된 가장 성숙한 구현 사례 중 하나로, 피해자 네트워크 자체를 장기적인 다중 조직 스파이 활동의 핵심 기반으로 활용합니다.