Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa FINALDRAFT Backdoor

FINALDRAFT Backdoor

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT), Užpakalinės durys
Versti į:

Grėsmių veikėjas, paprastai vadinamas „Jewelbug“, nuo 2025 m. liepos mėn. sustiprino savo dėmesį Europos vyriausybinėms organizacijoms, tačiau toliau vykdo aktyvias operacijas prieš taikinius Pietryčių Azijoje ir Pietų Amerikoje. Tyrėjai šią veiklos grupę stebi kaip „Ink Dragon“ – grupuotę, platesnėje saugumo bendruomenėje žinomą kaip CL-STA-0049, „Earth Alux“ ir REF7707. Įvertinta, kad veikėjas yra susijęs su Kinija ir demonstruoja nuolatinę veiklą mažiausiai nuo 2023 m. kovo mėn.

Kelios tapatybės, vienas koordinuotas klasteris

„Ink Dragon“ kampanijos atspindi brandžius ir drausmingus įsilaužimo gebėjimus. Jos operatoriai derina stiprius programinės įrangos inžinerijos įgūdžius su pasikartojančiais operaciniais planais, dažnai pasikliaudami integruotomis platformos priemonėmis, kad kenkėjišką veiklą sujungtų su teisėta įmonės telemetrija. Ši tyčinė prekybos taktika žymiai padidina slaptumą ir apsunkina aptikimą.

Taikymo sritis, tikslai ir nuolatinis poveikis

Kampanija tebėra aktyvi ir jau paveikė kelias dešimtis aukų. Nukentėjusios organizacijos apima vyriausybines agentūras ir telekomunikacijų paslaugų teikėjus visoje Europoje, Azijoje ir Afrikoje. Aukų skaičiaus įvairovė pabrėžia tiek veikėjo infrastruktūros mastelio keitimą, tiek jo strateginį susidomėjimą didelės vertės tinklais.

Ankstyvas matomumas ir pagrindinės kenkėjiškų programų šeimos

Vieša informacija apie „Ink Dragon“ virusą pasirodė 2025 m. vasarį, kai tyrėjai užfiksavo FINALDRAFT galinių durų, dar žinomų kaip „Squidoor“, naudojimą. Ši kenkėjiška programa palaiko tiek „Windows“, tiek „Linux“ aplinkas. Visai neseniai grupė buvo susieta su ilgalaikiu, penkis mėnesius trukusiu įsilaužimu į Rusijos IT paslaugų teikėją, o tai rodo jos gebėjimą išlaikyti ilgalaikę, slaptą prieigą.

Pradinė prieiga ir naudingojo krovinio pristatymas

„Ink Dragon“ paprastai patenka į rinką išnaudodama pažeidžiamas, prie interneto prijungtas žiniatinklio programas. Šiais trūkumais piktnaudžiaujama diegiant žiniatinklio apvalkalus, kurie vėliau tarnauja kaip paleidimo taškai papildomoms priemonėms, tokioms kaip VARGEIT ir Cobalt Strike. Šie naudingieji kroviniai palaiko komandų ir valdymo ryšius, vidinę žvalgybą, šoninį judėjimą, gynybos apėjimą ir duomenų vagystes.

Piktnaudžiavimas debesijos ir teisėtomis paslaugomis

Tarp grupės antrinių slaptų durų yra NANOREMOTE, kuri naudoja „Google Drive“ API, kad keistųsi failais tarp užkrėstų kompiuterių ir užpuoliko kontroliuojamos infrastruktūros. Įrankių pasirinkimas atrodo sąmoningas ir situacinis, o tai rodo, kad operatoriai pritaiko diegimus prie aukos aplinkos ir teikia pirmenybę technikoms, kurios primena įprastus, patikimus srauto modelius.

„ViewState“ išnaudojimas ir C2 infrastruktūros užgrobimas

„Ink Dragon“ strategijos pagrindinė technika – išnaudoti silpnus arba netinkamai valdomus ASP.NET kompiuterio raktus. Piktnaudžiaudamas „ViewState“ deserializavimo trūkumais IIS ir „SharePoint“ serveriuose, veikėjas įdiegia pasirinktinį „ShadowPad IIS Listener“ modulį. Tai paverčia pažeistus serverius aktyviais užpuoliko komandų ir valdymo tinklo komponentais, leisdamas jiems perduoti srautą ir komandas tarpinio serverio režimu, taip žymiai padidinant atsparumą.

Nuo vietinio pažeidimo iki pasaulinio perdavimo tinklo

Ši architektūra leidžia srautą nukreipti ne tik giliau į vieną organizaciją, bet ir per visiškai atskirus aukų tinklus. Dėl to vienas pažeistas serveris gali tyliai tapti tarpininku platesnėje, daugiasluoksnėje infrastruktūroje. Pats klausymo modulis palaiko nuotolinį komandų vykdymą, suteikdamas operatoriams tiesioginę žvalgybos ir naudingosios apkrovos paskirstymo kontrolę.

Po išnaudojimo ir privilegijų eskalavimo taktika

Be „ViewState“ piktnaudžiavimo, „Ink Dragon“ panaudojo „ToolShell SharePoint“ pažeidžiamumus, kad galėtų diegti žiniatinklio apvalkalus. Po pradinio įsilaužimo veikėjas paprastai atlieka kelis veiksmus, kad įtvirtintų prieigą ir padidintų teises:

  • IIS kompiuterio raktų panaudojimas norint gauti vietinius administratoriaus kredencialus ir judėti horizontaliai per RDP tunelius
  • Nuolatiškumo užtikrinimas per suplanuotas užduotis ir kenkėjiškas paslaugas
  • LSASS atminties išmetimas ir registro avilių išskleidimas siekiant padidinti teises
  • Pagrindinio kompiuterio užkardos taisyklių keitimas, siekiant leisti išeinantį srautą ir konvertuoti sistemas į „ShadowPad“ perdavimo mazgus

Išplėstinis kredencialų pakartotinis naudojimas ir domeno kompromitavimas

Bent vienu pastebėtu atveju užpuolikai nustatė atjungtą, bet aktyvią RDP sesiją, priklausančią domeno administratoriui, autentifikuotam naudojant tinklo lygio autentifikavimą su NTLMv2 atsarginiu metodu. Kadangi sesija liko atsijungusi, bet nebuvo nutraukta, LSASS atmintyje išliko jautri kredencialų informacija. Gavusi SISTEMOS lygio prieigą, „Ink Dragon“ ištraukė prieigos raktą ir pakartotinai jį panaudojo autentifikuotoms SMB operacijoms atlikti, rašyti į administracinius bendrinimus ir išfiltruoti NTDS.dit bei registro avilius.

Modulinė išlikimo ekosistema

Užuot pasikliavusi vienomis užpakalinėmis durimis, „Ink Dragon“ naudoja specializuotų komponentų rinkinį, kad užtikrintų ilgalaikę prieigą. Stebimo įrankiai apima:

  • „ShadowPad Loader“, skirtas iššifruoti ir vykdyti „ShadowPad“ pagrindinį modulį atmintyje
  • CDBLoader, kuris piktnaudžiauja „Microsoft“ konsolės derinimo įrankiu, kad vykdytų apvalkalo kodą ir įkeltų užšifruotus naudinguosius krovinius
  • „LalsDumper“ LSASS atminties ištraukimui
  • 032Loader, skirtas iššifruoti ir vykdyti papildomus naudinguosius krovinius
  • FINALDRAFT – modernizuotas nuotolinio administravimo įrankis, kuris piktnaudžiauja „Outlook“ ir „Microsoft Graph“ komandoms ir valdymui

    • FINALDRAFT evoliucija

    Grupė neseniai įdiegė naują FINALDRAFT variantą, skirtą didesniam slaptumui ir greitesniam duomenų išgavimui. Jame įdiegti pažangūs apėjimo metodai, palaikomas kelių pakopų naudingojo krovinio pristatymas ir įgalinamas slaptas šoninis judėjimas. Komandos pristatomos kaip užkoduoti dokumentai, įdedami į aukos pašto dėžutę, kurią implantas atkuria, iššifruoja ir vykdo naudodamas modulinę komandų sistemą.

    Persidengiama su kitais grėsmės veikėjais

    Tyrėjai taip pat aptiko kitos su Kinija susijusios grupuotės REF3927, dar žinomos kaip „RudePanda“, pėdsakų keliose aplinkose, kurias užpuolė „Ink Dragon“. Nėra jokių įrodymų apie šių dviejų veikėjų koordinuotą veiklą, ir manoma, kad sutapimas kyla dėl to, kad abu veikėjai naudojasi panašiais pradiniais prieigos vektoriais, o ne dalijasi infrastruktūra ar operacijomis.

    Naujas grėsmės modelis gynėjams

    „Ink Dragon“ panaikina tradicinę ribą tarp užkrėstų kompiuterių ir komandinės infrastruktūros. Kiekviena pažeista sistema tampa funkciniu mazgu užpuoliko kontroliuojamame tinkle, kuris plečiasi su kiekviena nauja auka. Gynėjams tai reiškia, kad izoliavimas negali būti sutelktas vien į atskiras sistemas. Norint veiksmingai sutrikdyti veiklą, reikia identifikuoti ir išardyti visą perdavimo grandinę. „Ink Dragon“ persiuntimo grandinei skirtas „ShadowPad“ naudojimas yra vienas iš brandžiausių iki šiol pastebėtų diegimų, efektyviai paverčiantis aukų tinklus ilgalaikių, daugiaorganizacinių šnipinėjimo kampanijų pagrindu.

    Tendencijos

    Labiausiai žiūrima

    Kenkėjiška programa

    Sukčiavimas, Šlamštas
    30,272
    Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
    Įkeliama...